El protocolo financiero descentralizado (DeFi) Dough Finance perdió USD 1.8 millones en activos digitales tras un ataque de préstamo flash al protocolo.

El 12 de julio, la empresa de seguridad Web3 Cyvers señaló que había detectado múltiples transacciones sospechosas. La empresa se puso en contacto con el protocolo de préstamos Aave para comprobar si los fondos estaban afectados. Sin embargo, la empresa de seguridad confirmó que los fondos de Aave estaban a salvo.

A pesar de ello, Dough Finance sufrió la peor parte del ataque. Según Cyvers, el atacante se financió a través del protocolo de conocimiento cero (ZK) Railgun e intercambió las USD Coin (USDC) robadas por Ether (ETH). El atacante consiguió un total de 608 ETH, valorados en unos USD 1.8 millones.

Un hacker manipula un contrato inteligente

El proveedor de seguridad web3 Olympix destacó que el exploit se debió a calldata no validado dentro del contrato "ConnectorDeleverageParaswap". La empresa explicó:
“El contrato no comprobaba correctamente los datos que recibía durante los pedidos de préstamo flash, lo que permitía al atacante manipularlos a su beneficio.”

Debido a esto, el atacante pudo manipular los datos y robar los fondos.

Olympix dijo que aquellos que depositaron fondos en el contrato explotado del protocolo DeFi podrían verse afectados. Sin embargo, el proveedor de seguridad señaló que el hackeo no afectó a los fondos de Aave.

El proveedor de seguridad también aconsejó a los usuarios de Dough Finance que retiraran sus fondos a un monedero seguro. Además, instaron a los usuarios a vigilar los anuncios del equipo de Dough Finance y evitar interactuar con el protocolo hasta que se resuelva la situación.

Se han perdido más de USD 1,000 millones por incidentes de seguridad en 2024

Si bien las pérdidas del hackeo de Dough Finance solo ascendieron a casi USD 2 millones, el resto del espacio de criptomonedas ya había perdido más de USD 1,000 millones en activos digitales debido a diversos incidentes dentro del espacio.

El 3 de julio, la empresa de seguridad blockchain CertiK publicó su informe de seguridad, destacando que las pérdidas por incidentes onchain ya alcanzaban los USD 1,190 millones en el primer semestre de 2024. La mayoría de las pérdidas se atribuyeron a ataques de suplantación de identidad y compromisos de claves privadas.

Según CertiK, el espacio perdió casi USD 500 millones por ataques de phishing, mientras que los compromisos de claves privadas provocaron casi USD 409 millones en pérdidas.

Ronghui Gu, cofundador de CertiK, destacó la urgente necesidad de implantar métodos de autenticación multifactor, como la autenticación de dos factores (2FA) y las claves de seguridad.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión