Là một nhà phân tích giàu kinh nghiệm, tôi thấy sự việc này rất đáng lo ngại. Từng chứng kiến các cuộc tấn công tương tự trong quá khứ, tôi không thể không cảm thấy thất vọng và thất vọng đối với những người bị ảnh hưởng bởi vụ vi phạm Dough Finance. Việc khai thác dữ liệu cuộc gọi không được xác thực trong hợp đồng ConnectorDeleverageParaswap là một ví dụ điển hình về lỗ hổng có thể được ngăn chặn bằng các biện pháp bảo mật thích hợp.
Một tin đáng thất vọng đối với cộng đồng là Dough Finance đã phải chịu khoản lỗ đáng kể khoảng 1,8 triệu USD bằng USDC, sau đó đã tăng lên tổng thiệt hại hơn 1,96 triệu USD do các cuộc tấn công tiếp theo. Sự cố này đã khiến nhiều người dùng cảm thấy bất an về số tiền của mình và đặt câu hỏi về tính bảo mật của dịch vụ.
Chuyện gì đã xảy ra?
Với tư cách là nhà phân tích bảo mật, tôi đã xem xét các báo cáo cảnh báo của CertiK và xác định nguyên nhân cốt lõi của vấn đề. Có vẻ như lỗ hổng này xuất phát từ hợp đồng ConnectorDeleverageParaswap. Trong các cuộc gọi cho vay nhanh, hợp đồng này không xác thực được dữ liệu cuộc gọi, tạo cơ hội cho kẻ tấn công giả mạo dữ liệu để thu lợi. Lỗ hổng cơ bản trong hợp đồng là thiếu kiểm tra xác thực dữ liệu cuộc gọi, khiến nó dễ bị các tác nhân độc hại thao túng.
Với tư cách là một nhà nghiên cứu đang điều tra một cuộc tấn công mạng, tôi đã phát hiện ra rằng kẻ gian ác, được trang bị những khoản lợi bất chính từ vụ cướp Railgun, đã nhanh chóng chuyển đổi Đồng đô la Mỹ (USDC) bị đánh cắp thành Ethereum (ETH). Thủ đoạn xảo quyệt này đã làm phức tạp đáng kể quá trình truy tìm và thu hồi số tiền bị đánh cắp.
Sau cuộc tấn công ban đầu, kẻ xâm lược tiếp tục tấn công dữ dội vào Dough Finance, dẫn đến thiệt hại thêm 140.498 USD và đẩy tổng thiệt hại lên tới 1,96 triệu USD.
Ai bị ảnh hưởng nhiều nhất?
Với tư cách là một nhà đầu tư tiền điện tử, tôi có thể nói với bạn rằng những người có tiền được giữ trong hợp đồng khai thác của Dough Finance phải chịu thiệt hại nặng nề. Mặt khác, người dùng kết nối với Aave không bị ảnh hưởng vì cuộc tấn công không chạm tới bất kỳ nhóm nào của họ.
Người dùng nên làm gì?
Người dùng nên rút bất kỳ khoản tiền nào họ có trong Dough Finance, đặc biệt là số tiền trong các hợp đồng bị ảnh hưởng và chuyển chúng vào ví cá nhân an toàn để đảm bảo an toàn.
2. Theo dõi thông tin cập nhật từ nhóm Dough Finance để biết thêm hướng dẫn về các hành động và hơn thế nữa.
Với tư cách là một nhà phân tích thận trọng, tôi khuyên bạn nên tránh tham gia vào giao thức Dough Finance hoặc bất kỳ hợp đồng liên quan nào cho đến khi chúng được các cơ quan hữu quan hoặc các chuyên gia bảo mật đáng tin cậy trong ngành coi là an toàn một cách rõ ràng.
Nhóm Dough Finance hiện đang điều tra nguyên nhân vi phạm và nỗ lực hạn chế mọi tác hại tiềm ẩn. Trong khi đó, các cá nhân nên cập nhật thông tin về những diễn biến mới nhất thông qua các kênh chính thức và thực hiện các bước để bảo vệ tài sản của mình.
Đọc thêm: Vi phạm trang web của Phòng thí nghiệm tổng hợp: Đã khôi phục bảo mật, Hợp đồng thông minh an toàn
- Grayscale Bitcoin ETF cuối cùng cũng nhìn thấy dòng vốn vào: Liệu bây giờ BTC có vượt qua 70 nghìn đô la không?
- Bachelorette Jenn Tran ‘Rất bối rối’ khi gặp Ex Matt ở New Zealand
- Đặt cược Bitcoin của Metaplanet tăng cổ phiếu lên 10%
- Haruko khai thác các ngăn xếp để mang dịch vụ tiền điện tử đến các nhà đầu tư tổ chức
- Ngân hàng Commonwealth bổ sung ETF BTC đơn sắc vào các dịch vụ đầu tư
- Tác phẩm nghệ thuật mới nhất của Beeple có Andrew Tate và Iggy Azalea
- Dự đoán giá Dogecoin – Hãy chú ý đến những mục tiêu ngắn hạn này!
- Ripple đạt được bước đột phá lớn: SEC giảm nhu cầu thanh toán xuống còn 103 triệu USD
- 4,3 triệu đô la tiền điện tử bị đánh cắp từ vụ hack Remilia DAO được truy tìm đến Tornado Cash
- Chiến thắng lớn cho ETH; SEC kết thúc cuộc điều tra về ETH 2.0
2024-07-12 14:22