A plataforma de finanças descentralizadas, Dough Finance, enfrentou uma grave violação de segurança, resultando na perda de quase US$ 1,8 milhões em USDC, com ataques adicionais elevando o prejuízo total para US$ 1,96 milhões. A situação gerou uma onda de preocupação entre os usuários, que se viram com seus fundos suspensos e questionaram a segurança da plataforma.
Os alertas emitidos pela CertiK revelaram que a origem do problema foi uma falha no contrato ConnectorDeleverageParaswap. A brecha ocorreu devido à não validação de calldata em chamadas de empréstimo flash, permitindo que os atacantes manipulassem os dados a seu favor. Este erro no contrato permitiu que os atacantes explorassem essa vulnerabilidade, comprometendo a segurança dos fundos.
#CertiKInsight 🚨@DoughFina has been exploited for ~$1.8m which is held in EOA 0x2913d90d94c9833b11a3e77f136da03075c04a0f
The root cause is due to the lack of validation / unvalidated calldata in the ConnectorDeleverageParaswap contract… pic.twitter.com/F6UnjXsLsj
— CertiK Alert (@CertiKAlert) July 12, 2024
Em uma manobra rápida, os invasores utilizaram a tecnologia Railgun para converter o USDC roubado em ETH. Essa ação complicou significativamente os esforços de rastreamento e recuperação dos fundos, tornando praticamente impossível a identificação e devolução dos ativos aos seus legítimos proprietários.
Após o ataque inicial, a plataforma foi atacada novamente, resultando em uma perda adicional de US$ 140.498, levando o dano total para US$ 1,96 milhão. Este segundo ataque apenas piorou a situação, erodindo ainda mais a confiança dos usuários na segurança da Dough Finance.
Os mais afetados por este incidente foram os usuários com fundos depositados nos contratos comprometidos da Dough Finance. Entretanto, é relevante notar que os usuários da AAVE não foram impactados, visto que o ataque focou exclusivamente nos contratos da Dough Finance e não atingiu nenhum pool da AAVE.