Il protocollo DeFi "Dough Finance" ha perso 1,8 milioni di dollari in asset digitali a causa di un flash loan attack. Il 12 luglio, la società di sicurezza informatica Cyvers ha segnalato di aver rilevato diverse transazioni sospette. L'azienda ha anche contattato il protocollo di prestito Aave, confermando che i fondi all'interno dei suoi pool non sono stati colpiti.

Nonostante ciò, Dough Finance è stata fortemente danneggiata dall'attacco. Secondo Cyvers, l'aggressore si è finanziato tramite il protocollo zero-knowledge Railgun e ha scambiato gli USDC rubati con Ether (ETH). In totale l'hacker è riuscito a mettere le mani su 608 ETH, per un valore di circa 1,8 milioni di dollari.

L'hacker sfrutta una vulnerabilità nello smart contract

Olympix, società specializzata in sicurezza nel Web3, ha evidenziato che l'exploit era dovuto a calldata non validati all'interno del contratto "ConnectorDeleverageParaswap". L'azienda ha spiegato:

"Il contratto non controllava correttamente i dati ricevuti durante le call del flash loan, consentendo all'aggressore di manipolarli a proprio vantaggio."

In questo modo, l'aggressore è stato in grado di manipolare i dati e rubare i fondi. Olympix ha dichiarato che tutti coloro che hanno depositato fondi nel contratto violato potrebbero essere stati danneggiati.

L'azienda ha inoltre consigliato agli utenti di Dough Finance di spostare i fondi su un wallet sicuro. Ha anche invitato la community a monitorare gli annunci del team di Dough Finance, e ad evitare di interagire con il protocollo finché la situazione non sarà risolta.

Oltre un miliardo di dollari persi a causa di attacchi hacker nel 2024

Soltanto quest'anno, il settore crypto ha perso oltre un miliardo di dollari in asset digitali a causa di vari incidenti legati alla sicurezza.

Il 3 luglio CertiK ha pubblicato il suo security report, evidenziando che le perdite dovute ad incidenti on-chain hanno già raggiunto i 1,19 miliardi di dollari nella prima metà del 2024. La maggior parte delle perdite è stata attribuita ad attacchi di phishing (500 milioni di dollari) o al furto di chiavi private (490 milioni di dollari). Ronghui Gu, co-founder di CertiK, ha caldamente consigliato agli utenti di proteggere i propri fondi abilitando l'autenticazione a due fattori.