Eksploitasi Curve Finance: Para ahli membedah apa yang salah

Protokol keuangan terdesentralisasi terus menjadi target peretas, dengan Curve Finance menjadi platform terbaru yang dikompromikan setelah insiden pembajakan sistem nama domain (DNS).

Pembuat pasar otomatis memperingatkan pengguna untuk tidak menggunakan ujung depan situs webnya pada hari Selasa setelah insiden tersebut ditandai secara online oleh sejumlah anggota komunitas cryptocurrency yang lebih luas.

Sementara mekanisme serangan yang tepat masih dalam penyelidikan, konsensusnya adalah para penyerang berhasil mengkloning situs Curve Finance dan mengalihkan server DNS ke halaman palsu. Pengguna yang mencoba menggunakan platform kemudian dananya dikuras ke kumpulan yang dioperasikan oleh penyerang.

Curve Finance berhasil memperbaiki situasi secara tepat waktu, tetapi penyerang masih berhasil menyedot Koin USD yang semula diperkirakan senilai $537,000 (USDC) dalam waktu yang diperlukan untuk mengembalikan domain yang dibajak. Platform percaya bahwa penyedia server DNS Iwantmyname telah diretas, yang memungkinkan kejadian selanjutnya terungkap.

Cointelegraph menjangkau perusahaan analitik blockchain Elliptic untuk membedah bagaimana penyerang berhasil menipu pengguna Curve yang tidak menaruh curiga. Tim mengkonfirmasi bahwa seorang peretas telah mengkompromikan DNS Curve, yang menyebabkan transaksi berbahaya ditandatangani.

Terkait: Lintas rantai, waspadalah: bendera deBridge mencoba serangan phishing, mencurigai Lazarus Group

Elliptic memperkirakan bahwa 605,000 USDC dan 6,500 Dai dicuri sebelum Curve menemukan dan memulihkan kerentanan. Memanfaatkan alat analitik blockchainnya, Elliptic kemudian melacak dana yang dicuri ke sejumlah bursa, dompet, dan mixer yang berbeda.

Dana yang dicuri segera diubah menjadi Ether (ETH) untuk menghindari potensi pembekuan USDC, sebesar 363 ETH senilai $615,000.

Menariknya, 27.7 ETH dicuci melalui Tornado Cash yang sekarang disetujui oleh Kantor Pengawasan Aset Asing Amerika Serikat. 292 ETH dikirim ke layanan pertukaran FixedFloat dan pertukaran koin, sementara platform berhasil membekukan 112 ETH.

Elliptic sekarang memantau alamat yang ditandai ini selain alamat asli berbasis Ethereum. 23 ETH selanjutnya dipindahkan ke dompet panas pertukaran yang tidak diketahui.

Elliptic juga memperingatkan ekosistem yang lebih luas tentang insiden lebih lanjut seperti ini setelah mengidentifikasi daftar di forum darknet yang mengklaim menjual "halaman arahan palsu" untuk peretas situs web yang disusupi.

Tidak jelas apakah daftar ini, yang ditemukan hanya sehari sebelum insiden pembajakan DNS Curve Finance, terkait langsung, tetapi Elliptic mencatat bahwa ini menyoroti metodologi yang digunakan dalam jenis peretasan ini.