Curve Finance Exploit: Experten analysieren, was schief gelaufen ist

Dezentralisierte Finanzprotokolle werden weiterhin von Hackern angegriffen, wobei Curve Finance die neueste Plattform ist, die nach einem DNS-Hijacking-Vorfall (Domain Name System) kompromittiert wurde.

Der automatisierte Market Maker warnte Benutzer davor, das Frontend seiner Website zu verwenden am Dienstag, nachdem der Vorfall online von einer Reihe von Mitgliedern der breiteren Kryptowährungs-Community gemeldet wurde.

Während der genaue Angriffsmechanismus noch untersucht wird, besteht Einigkeit darin, dass Angreifer gelang es, die Curve Finance-Website zu klonen und den DNS-Server auf die gefälschte Seite umgeleitet. Die Gelder von Benutzern, die versuchten, die Plattform zu nutzen, wurden in einen von den Angreifern betriebenen Pool abgezogen.

Curve Finance schaffte es, die Situation rechtzeitig zu beheben, aber den Angreifern gelang es dennoch, USD-Münzen im Wert von ursprünglich schätzungsweise 537,000 US-Dollar abzuschöpfen (USDC) in der Zeit, die benötigt wurde, um die gekaperte Domain wiederherzustellen. Die Plattform geht davon aus, dass ihr DNS-Serveranbieter Iwantmyname gehackt wurde, was die Entstehung der folgenden Ereignisse ermöglichte.

Cointelegraph wandte sich an das Blockchain-Analyseunternehmen Elliptic, um zu analysieren, wie es Angreifern gelang, ahnungslose Curve-Benutzer zu täuschen. Das Team bestätigte, dass ein Hacker das DNS von Curve kompromittiert hatte, was dazu führte, dass böswillige Transaktionen signiert wurden.

Related: Ketten überqueren, Vorsicht: deBridge meldet versuchten Phishing-Angriff, vermutet Lazarus Group

Elliptic schätzt, dass 605,000 USDC und 6,500 Durch wurde gestohlen, bevor Curve die Sicherheitslücke fand und behebte. Mithilfe seiner Blockchain-Analysetools konnte Elliptic dann die gestohlenen Gelder zu einer Reihe verschiedener Börsen, Wallets und Mixer zurückverfolgen.

Die gestohlenen Gelder wurden sofort in Ether umgewandelt (ETH), um ein mögliches USDC-Einfrieren zu vermeiden, in Höhe von 363 ETH im Wert von 615,000 US-Dollar.

Interessanterweise wurden 27.7 ETH durch das jetzt vom United States Office of Foreign Assets Control sanktionierte Tornado Cash gewaschen. 292 ETH wurden an den Tausch- und Münztauschdienst FixedFloat gesendet, während es der Plattform gelang, 112 ETH einzufrieren.

Elliptic überwacht nun diese markierten Adressen zusätzlich zu den ursprünglichen Ethereum-basierten Adressen. Weitere 23 ETH wurden in eine Hot Wallet einer unbekannten Börse verschoben.

Elliptic warnte auch das breitere Ökosystem vor weiteren Vorfällen dieser Art, nachdem es einen Eintrag in einem Darknet-Forum identifiziert hatte, der behauptete, „gefälschte Zielseiten“ für Hacker kompromittierter Websites zu verkaufen.

Es ist unklar, ob diese Auflistung, die nur einen Tag vor dem DNS-Hijacking-Vorfall von Curve Finance entdeckt wurde, in direktem Zusammenhang stand, aber Elliptic stellte fest, dass sie die Methoden hervorhebt, die bei dieser Art von Hacks verwendet werden.