ในฐานะนักวิเคราะห์ที่มีประสบการณ์ ฉันพบว่าเหตุการณ์นี้น่ากังวลอย่างยิ่ง เมื่อได้เห็นการโจมตีที่คล้ายกันในอดีต ฉันอดไม่ได้ที่จะรู้สึกผิดหวังและความคับข้องใจสำหรับผู้ที่ได้รับผลกระทบจากการละเมิด Dough Finance การใช้ประโยชน์จากข้อมูลการโทรที่ไม่ได้รับการตรวจสอบภายในสัญญา ConnectorDeleverageParaswap เป็นตัวอย่างคลาสสิกของช่องโหว่ที่สามารถป้องกันได้ด้วยมาตรการรักษาความปลอดภัยที่เหมาะสม
เป็นข่าวที่น่าผิดหวังสำหรับชุมชนที่ Dough Finance ประสบความสูญเสียอย่างมีนัยสำคัญประมาณ 1.8 ล้านดอลลาร์ใน USDC ซึ่งต่อมาได้เพิ่มการสูญเสียเป็นมากกว่า 1.96 ล้านดอลลาร์เนื่องจากการโจมตีในภายหลัง เหตุการณ์นี้ทำให้ผู้ใช้จำนวนมากรู้สึกไม่สบายใจเกี่ยวกับเงินทุนของตนและตั้งคำถามถึงความปลอดภัยของบริการ
เกิดอะไรขึ้น?
ในฐานะนักวิเคราะห์ความปลอดภัย ฉันได้ตรวจสอบรายงานการแจ้งเตือนของ CertiK และระบุสาเหตุของปัญหาแล้ว ดูเหมือนว่าช่องโหว่ดังกล่าวเกิดจากสัญญา ConnectorDeleverage Paraswap ในระหว่างการเรียกสินเชื่อแบบแฟลช สัญญานี้ล้มเหลวในการตรวจสอบความถูกต้องของข้อมูลการโทร ทำให้ผู้โจมตีมีโอกาสแก้ไขข้อมูลเพื่อให้ได้ประโยชน์ ข้อบกพร่องพื้นฐานในสัญญาคือการไม่มีการตรวจสอบความถูกต้องของข้อมูลการโทร ทำให้เสี่ยงต่อการถูกจัดการโดยผู้ไม่ประสงค์ดี
ในฐานะนักวิจัยที่กำลังสืบสวนการโจมตีทางไซเบอร์ ฉันได้ค้นพบว่าผู้ร้ายซึ่งติดอาวุธด้วยผลประโยชน์ที่ได้มาอย่างไม่ดีจากการปล้น Railgun ได้แปลงเหรียญดอลลาร์สหรัฐ (USDC) ที่ถูกขโมยไปเป็น Ethereum (ETH) อย่างรวดเร็ว การซ้อมรบอันชาญฉลาดนี้ทำให้กระบวนการติดตามและกู้คืนเงินที่ถูกขโมยมีความซับซ้อนอย่างมาก
หลังจากการโจมตีครั้งแรก ผู้รุกรานยังคงโจมตี Dough Finance ต่อไป ส่งผลให้สูญเสียเพิ่มเติม 140,498 ดอลลาร์ และสร้างความเสียหายรวมเป็น 1.96 ล้านดอลลาร์
ใครได้รับผลกระทบมากที่สุด
ในฐานะนักลงทุน crypto ฉันสามารถบอกคุณได้ว่าผู้ที่มีเงินอยู่ในสัญญาที่ถูกเอารัดเอาเปรียบของ Dough Finance ได้รับความเสียหายอย่างหนัก ในทางกลับกัน ผู้ใช้ที่เชื่อมต่อกับ Aave ไม่ได้รับผลกระทบ เนื่องจากการโจมตีไม่ได้แตะต้องกลุ่มใดๆ ของพวกเขา
ผู้ใช้ควรทำอย่างไร
ขอแนะนำให้ผู้ใช้ถอนเงินใด ๆ ที่พวกเขามีใน Dough Finance โดยเฉพาะในสัญญาที่ได้รับผลกระทบ และโอนไปยังกระเป๋าเงินส่วนตัวที่ปลอดภัยเพื่อความปลอดภัย
2. ติดตามการอัปเดตจากทีม Dough Finance เพื่อดูคำแนะนำเพิ่มเติมเกี่ยวกับการดำเนินการและอื่นๆ
ในฐานะนักวิเคราะห์ที่ระมัดระวัง ฉันขอแนะนำให้หลีกเลี่ยงการมีส่วนร่วมกับโปรโตคอล Dough Finance หรือสัญญาใดๆ ที่เกี่ยวข้อง จนกว่าสัญญาเหล่านั้นจะถือว่าปลอดภัยโดยหน่วยงานที่เกี่ยวข้องหรือผู้เชี่ยวชาญด้านความปลอดภัยที่เชื่อถือได้ในอุตสาหกรรม
ขณะนี้ทีมงาน Dough Finance กำลังตรวจสอบสาเหตุของการละเมิดและทำงานเพื่อจำกัดอันตรายที่อาจเกิดขึ้น ในระหว่างนี้ ขอแนะนำให้บุคคลรับทราบข้อมูลเกี่ยวกับการพัฒนาล่าสุดผ่านช่องทางอย่างเป็นทางการ และดำเนินการเพื่อปกป้องทรัพย์สินของตน
อ่านเพิ่มเติม: การละเมิดเว็บไซต์ Compound Labs: คืนค่าความปลอดภัย, Smart Contracts ปลอดภัย
Sorry. No data so far.
2024-07-12 14:22