Protokol kewangan terdesentralisasi (DeFi) Dough Finance kehilangan $1.8 juta dalam aset digital selepas serangan pinjaman kilat ke atas protokol tersebut.
Pada 12 Julai, firma keselamatan Web3, Cyvers, melaporkan bahawa mereka telah mengesan beberapa transaksi yang mencurigakan. Syarikat tersebut berhubung dengan protokol pinjaman Aave untuk memeriksa sama ada kolam-kolam terjejas. Walau bagaimanapun, firma keselamatan tersebut mengesahkan bahawa kolam-kolam dalam Aave adalah selamat.
Walaupun demikian, Dough Finance mengalami kesan teruk akibat serangan tersebut. Menurut Cyvers, penyerang dibiayai melalui protokol zero-knowledge (ZK) Railgun dan menukar USD Coin (USDC) yang dicuri dengan Ether (ETH). Penyerang tersebut mendapatkan jumlah keseluruhan 608 ETH, bernilai kira-kira $1.8 juta.
Penjenayah memanipulasi kontrak pintar
Penyedia keselamatan Web3, Olympix, menyoroti bahawa pengeksploitasi ini disebabkan oleh calldata yang tidak disahkan dalam kontrak "ConnectorDeleverageParaswap". Syarikat tersebut menjelaskan:
"Kontrak tersebut tidak memeriksa data yang diterimanya semasa panggilan pinjaman kilat, membolehkan penyerang memanipulasinya untuk keuntungannya sendiri."
Oleh kerana itu, penyerang dapat memanipulasi data dan mencuri dana tersebut.
Olympix menyatakan bahawa mereka yang mendepositkan dana dalam kontrak yang dieksploitasi oleh protokol DeFi mungkin terjejas. Walau bagaimanapun, penyedia keselamatan tersebut mencatatkan bahawa serangan tersebut tidak menjejaskan kolam-kolam Aave.
Penyedia keselamatan juga menasihati pengguna Dough Finance untuk mempertimbangkan untuk mengeluarkan dana mereka ke dalam dompet yang selamat. Selain itu, mereka menggesa pengguna untuk memantau pengumuman daripada pasukan Dough Finance dan mengelakkan berinteraksi dengan protokol tersebut sehingga situasi diselesaikan.
Berkaitan: Pencuri Pancake Bunny menyalurkan $2.9 juta Ether melalui Tornado Cash
Lebih $1 bilion hilang akibat insiden keselamatan pada 2024
Walaupun kerugian akibat serangan ke atas Dough Finance hanya berjumlah hampir $2 juta, sebahagian besar ruang kripto telah kehilangan lebih daripada $1 bilion dalam aset digital disebabkan pelbagai insiden dalam ruang tersebut.
Pada 3 Julai, syarikat keselamatan blockchain CertiK menerbitkan laporan keselamatannya, menyoroti bahawa kerugian akibat insiden di atas rangkaian telah mencapai $1.19 bilion dalam separuh pertama tahun 2024. Kebanyakan kerugian disebabkan oleh serangan phishing dan pengompromian kunci peribadi.
Menurut CertiK, ruang tersebut kehilangan hampir $500 juta akibat serangan phishing, manakala pengompromian kunci peribadi menyebabkan kerugian hampir $409 juta.
Ronghui Gu, salah seorang pengasas CertiK, menekankan keperluan mendesak untuk melaksanakan kaedah pengesahan multifaktor, seperti pengesahan dua faktor (2FA) dan kunci keselamatan.
Majalah: Kelemahan kegemaran Kumpulan Lazarus terdedah - Analisis serangan kripto
