Dough Finance verliest $1,8 miljoen in flash loan-aanval

Het gedecentraliseerde financiële protocol Dough Finance heeft $1,8 miljoen aan digitale activa verloren na een flash loan-aanval. Op 12 juli meldde het Web3-beveiligingsbedrijf Cyvers dat ze meerdere verdachte transacties hadden opgemerkt. Ze werkten samen met het leenprotocol Aave om te controleren of hun fondsen waren getroffen, maar bevestigden dat de fondsen binnen Aave veilig waren.

Ondanks dat werd Dough Finance zwaar getroffen door de aanval. Cyvers meldde dat de aanvaller werd gefinancierd via het zero-knowledge (ZK) protocol Railgun en de gestolen USD Coin (USDC) omruilde voor Ether (ETH). In totaal verkreeg de aanvaller 608 ETH, met een waarde van ongeveer $1,8 miljoen.

Web3-beveiligingsbedrijf Olympix legde uit dat de aanval mogelijk was vanwege ongeldige gegevens binnen het “ConnectorDeleverageParaswap” contract. Dit contract controleerde de gegevens die het ontving tijdens flitsleningen niet goed, waardoor de aanvaller deze in zijn voordeel kon manipuleren en fondsen kon stelen.

Olympix waarschuwde dat degenen die geld hadden gestort in het getroffen contract van Dough Finance mogelijk getroffen zijn, hoewel de Aave-pools niet werden beïnvloed. Ze adviseerden gebruikers van Dough Finance om hun fondsen naar een veilige wallet over te brengen en de aankondigingen van het Dough Finance-team goed in de gaten te houden. Ze raadden ook aan om voorlopig geen gebruik te maken van het protocol totdat de situatie is opgelost.

Hoewel de hack van Dough Finance bijna $2 miljoen kostte, had de rest van de crypto-wereld in 2024 al meer dan $1 miljard verloren door verschillende beveiligingsincidenten. Op 3 juli publiceerde blockchain-beveiligingsbedrijf CertiK een rapport waarin werd aangegeven dat de verliezen door on-chain incidenten in de eerste helft van 2024 al $1,19 miljard hadden bereikt. De meeste verliezen kwamen door phishing-aanvallen en compromittering van privésleutels.

Volgens CertiK werd bijna $500 miljoen verloren door phishing-aanvallen en resulteerden compromitteringen van privésleutels in bijna $409 miljoen aan verliezen. CertiK medeoprichter Ronghui Gu benadrukte de noodzaak van het implementeren van multifactor authenticatie-methoden, zoals twee-factor authenticatie (2FA) en beveiligingssleutels, om de veiligheid te verbeteren.