Dough Finance flash loan saldırısında $1,8m kaybetti

DeFi protokolü Dough Finance, Railgun ile finanse edilen bir flash loan saldırısında 1,8 milyon dolar kaybetti.

Web3 güvenlik firması Cyvers’in raporuna göre, Dough Finance protokolünün akıllı sözleşmeleri harici verilerle manipüle edildi ve hackerlar, protokolden 1,8 milyon dolar değerinde $USDC çaldı.

Railgun ile finanse edilen flash loan (anlık kredi) saldırısında çalınan tüm $USDC’ler Ethereum’a dönüştürüldü. Yaşanan saldırıda AAVE havuzlarının zarar görmediği de belirtildi.

Konuyu detaylı bir şekilde ele alan güvenlik uzmanı Olympix, saldırının “doğrulanmamış çağrı verileri (calldata)” nedeniyle mümkün olduğunu paylaştı. Bu açıkta, kullanılan akıllı sözleşme, kredi alımı sırasında verileri düzgün bir şekilde kontrol edemiyor ve saldırganların çıkarları doğrultunda protokolden fon çekmesine olanak tanıyor.

Hack saldırısı ardından Dough Finance ekibi X platformu üzerinden “olayı aktif olarak araştırıyoruz ve fonları geri almak için çalışıyoruz” açıklamasıyla topluluğa güvence verdi.

Dough Finance’in resmi X/Twitter sayfası sadece 141 takipçiye sahip ve projenin topluluğu aktif olarak bilgilendiren sosyal medya kanalları mevcut değil.

Saldırının Railgun ile finanse edilmesi de gizlilik protokollerinin varlığını tehlikeye atıyor. Nisan ayında, Ethereum kurucusu Vitalik Buterin, sektörün Railgun gibi “gizlilik havuzları” protokollerine ihtiyacı olduğunu ve bu protokollerin aslında kötü niyetli aktörleri engellediğini söyledi. Bu özelliğine rağmen Railgun, son zamanlarda Lazarus Grubu gibi tehlikeli hacker gruplarının aracı haline gelmesi nedeniyle eleştiriliyor.

Dough Finance’den kısa süre önce UwU Lend, 23,7 milyon dolar kaybettiği bir hack saldırısı ardından hacminin yaklaşık yarısını kaybetti.