Na manhã de sexta-feira, o protocolo DeFi Dough Finance foi alvo de uma exploração que resultou no roubo de US$ 1,96 milhão em fundos de usuários. O ataque, que envolveu um empréstimo rápido, afetou negativamente o protocolo de código aberto, utilizado para criar mercados de liquidez não custodiais. A equipe do Dough Finance anunciou estar tomando medidas rápidas para resolver a situação.
Relatórios sobre atividades suspeitas na Dough Finance surgiram em 12 de julho. A plataforma de segurança blockchain Web3 Cyvers detectou várias transações suspeitas envolvendo o protocolo, indicando uma possível exploração.
O hacker conseguiu manipular o contrato inteligente da Dough Finance, desviando US$ 1,8 milhão em USDC. Usando o protocolo de conhecimento zero (ZK) Railgun, o invasor converteu os fundos roubados em Ethereum (ETH), obtendo inicialmente 608 ETH.
A Olympix, outra empresa de segurança Web3, identificou que a vulnerabilidade se originou no “calldata dentro do contrato ConnectorDeleverageParaswap”, que não verificava adequadamente os dados das chamadas de empréstimo flash. Essa falha permitiu que o atacante manipulasse os dados do contrato e transferisse os fundos para uma conta controlada externamente (EOA). Além disso, após os primeiros relatos, um segundo ataque foi realizado.
A equipe do Dough Finance continua a trabalhar para solucionar o problema e assegurar a segurança dos fundos de seus usuários.
