L'exploitation du protocole DeFi Dough Finance rapporte 1,96 million de dollars
Un autre protocole DeFi a été victime d’un exploit vendredi matin. Dough Finance, un protocole open source permettant de créer des marchés de liquidités non dépositaires, a subi une attaque de prêt flash qui a pris près de 2 millions de dollars de fonds aux utilisateurs. L’équipe du projet a annoncé qu’elle travaillait à résoudre la situation rapidement.
Le protocole Dough Finance perd 1,96 million de dollars
Le 12 juillet, des rapports en ligne concernant l’activité de Dough Finance ont été dénoncés. La plateforme de sécurité blockchain Web3 Cyvers nous a informés qu’elle avait détecté plusieurs transactions suspectes impliquant le protocole DeFi. Selon le rapport, le pirate a manipulé le contrat intelligent de Dough Finance et a volé 1,8 million de dollars en USDC. L’attaquant, financé via le protocole à connaissance nulle (ZK) Railgun, a échangé les fonds détournés contre Ethereum (ETH), obtenant initialement 608 ETH. Olympix, un fournisseur de sécurité Web3, a révélé que l’exploit s’est produit en raison de « données d’appel dans le contrat ConnectorDeleverageParaswap ». Apparemment, le contrat n’a pas correctement vérifié les données d’appels de prêt flash. Les données d’appel non validées ont permis à l’exploitant de manipuler les données du contrat et d’envoyer les fonds vers un compte détenu en externe (EAO). Suite aux premiers rapports, une deuxième série d’attaques a eu lieu.
Les fonds de Dough Finance circulent après l’exploit. Source : Breadcrumbs.app sur X Ces attaques ont entraîné la perte de 141 000 dollars supplémentaires en USDC, ce qui porte le vol total de crypto-monnaies à 1,96 million de dollars. Néanmoins, Cyvers a confirmé que les pools du protocole de prêt Aave n’ont pas été affectés.
Les escrocs ciblent les projets DeFi
Après les premiers rapports, le protocole DeFi a reconnu l’attaque et a exhorté les utilisateurs à retirer leurs fonds restants du protocole. Plus tard, Dough Finance a annoncé avoir identifié et fermé l’exploit. Le projet a confirmé que « quelques premiers comptes Dough DeFi Smart Accounts (DSA) » ont été victimes d’un exploit sophistiqué. De plus, le message a assuré que l’équipe de Dough Finance travaille activement pour résoudre l’incident, récupérer les fonds et indemniser les investisseurs. Des rapports en ligne ont révélé que l’équipe avait contacté l’exploitant. Dans un message sur la chaîne, le protocole Defi a informé l’exploitant qu’il avait contacté les autorités compétentes.
Le message de l’équipe sur la chaîne à l’exploitant. Source : Evgenii sur X L’équipe a également proposé de discuter d’une prime si l’attaquant avait « exploité cette vulnérabilité en tant que white hat ou grey hat », et a joint l’adresse où les fonds devraient être directement transférés. L’exploitant a jusqu’au lundi 15 juillet 2024 à 23h00 UTC pour contacter le protocole DeFi. Selon le message, si l’équipe ne reçoit pas de réponse, elle « supposera que vous vous êtes approprié les fonds avec une intention illégale et poursuivra toutes les voies pénales, légales et administratives disponibles » pour récupérer les fonds détournés. Les escrocs ont massivement ciblé le secteur. Cette semaine, plusieurs projets DeFi, dont Compound Finance, ont été compromis par une attaque de phishing. Apparemment, les projets ont été victimes d’une attaque de domaine DNS qui a redirigé les utilisateurs vers un faux site Web. Le site Web de copie était un outil de ponction qui pouvait drainer les fonds des utilisateurs s’ils interagissaient avec lui. Par conséquent, les équipes du projet ont exhorté les clients à ne pas interagir avec les sites Web jusqu’à nouvel ordre.
Ethereum se négocie à 3 126 $ sur le graphique à trois jours. Source : ETHUSDT sur TradingView Image en vedette de Unsplash.com, graphique de TradingView.com