واجهت منصة التمويل اللامركزية Dough Finance خرقًا أمنيًا خطيرًا أدى إلى خسارة ما يقرب من 1,8 مليون دولار من USDC، مع هجمات إضافية رفعت إجمالي الخسارة إلى 1,96 مليون دولار. ولّد هذا الوضع موجة من القلق بين المستخدمين، الذين وجدوا أن أموالهم معلقة وشككوا في أمان المنصة.
كشفت التنبيهات الصادرة عن CertiK أن مصدر المشكلة كان خللًا في عقد ConnectorDeleverageParaswap. حدث الاختراق بسبب عدم التحقق من صحة بيانات المكالمات في مكالمات القروض السريعة، مما يسمح للمهاجمين بالتلاعب بالبيانات لصالحهم. وقد سمح هذا الخطأ في العقد للمهاجمين باستغلال هذه الثغرة الأمنية، مما يعرض أمن الأموال للخطر.
#سيرتيكينسايت ؟؟؟؟@DoughFina تم استغلاله مقابل 1.8 مليون دولار تقريبًا وهو محفوظ في EOA 0x2913d90d94c9833b11a3e77f136da03075c04a0f
يرجع السبب الجذري إلى عدم التحقق من صحة بيانات المكالمات/المكالمات التي لم يتم التحقق منها في عقد ConnectorDeleverageParaswap... pic.twitter.com/F6UnjXsLsj
- تنبيه CertiK (CertiKAlert) 12 تموز، 2024
وفي مناورة سريعة، استخدم المهاجمون تقنية Railgun لتحويل USDC المسروق إلى ETH. أدى هذا الإجراء إلى تعقيد الجهود المبذولة لتتبع الأموال واستردادها بشكل كبير، مما يجعل من المستحيل تقريبًا تحديد الأصول وإعادتها إلى أصحابها الشرعيين.
بعد الهجوم الأولي، تعرضت المنصة للهجوم مرة أخرى، مما أدى إلى خسارة إضافية قدرها 140.498 دولارًا أمريكيًا، ليصل إجمالي الأضرار إلى 1,96 مليون دولار أمريكي. أدى هذا الهجوم الثاني إلى تفاقم الوضع، مما أدى إلى تآكل ثقة المستخدمين في أمان Dough Finance.
الأكثر تضرراً من هذا الحادث هم المستخدمون الذين لديهم أموال مودعة في عقود Dough Finance المعرضة للخطر. ومع ذلك، من المهم ملاحظة أن مستخدمي AAVE لم يتأثروا، حيث ركز الهجوم حصريًا على عقود Dough Finance ولم يستهدف أي مجمعات AAVE.