Curve Finance exploit: experts ontleden wat er mis ging

Gedecentraliseerde financiële protocollen worden nog steeds het doelwit van hackers, waarbij Curve Finance het nieuwste platform wordt dat wordt gecompromitteerd na een incident met een domeinnaamsysteem (DNS) kaping.

De geautomatiseerde market maker waarschuwde gebruikers om de voorkant van haar website niet te gebruiken op dinsdag nadat het incident online werd gemarkeerd door een aantal leden van de bredere cryptocurrency-gemeenschap.

Hoewel het exacte aanvalsmechanisme nog wordt onderzocht, is de consensus dat aanvallers erin geslaagd om de Curve Finance-website te klonen en leidde de DNS-server om naar de neppagina. Gebruikers die probeerden gebruik te maken van het platform, lieten hun geld vervolgens wegvloeien naar een pool die door de aanvallers werd beheerd.

Curve Finance slaagde erin de situatie tijdig te verhelpen, maar aanvallers slaagden er nog steeds in om naar schatting $537,000 aan USD-munten over te hevelen (USDC) in de tijd die nodig was om het gekaapte domein terug te zetten. Het platform denkt dat zijn DNS-serverprovider Iwantmyname is gehackt, waardoor de daaropvolgende gebeurtenissen zich konden ontvouwen.

Cointelegraph nam contact op met blockchain-analysebedrijf Elliptic om te ontleden hoe aanvallers nietsvermoedende Curve-gebruikers wisten te bedriegen. Het team bevestigde dat een hacker de DNS van Curve had gecompromitteerd, waardoor kwaadaardige transacties werden ondertekend.

Zie ook: Cross chains, pas op: deBridge markeert poging tot phishing-aanval, vermoedt Lazarus Group

Elliptic schat dat 605,000 USDC en 6,500 Kom op werd gestolen voordat Curve de kwetsbaarheid ontdekte en ongedaan maakte. Met behulp van zijn blockchain-analysetools traceerde Elliptic vervolgens het gestolen geld naar een aantal verschillende beurzen, portemonnees en mixers.

Het gestolen geld werd onmiddellijk omgezet in Ether (ETH) om een ​​mogelijke bevriezing van de USDC te voorkomen, wat neerkomt op 363 ETH ter waarde van $615,000.

Interessant is dat 27.7 ETH werd witgewassen via het nu door het Amerikaanse Office of Foreign Assets Control gesanctioneerde Tornado Cash. 292 ETH werd naar de FixedFloat-uitwisselings- en muntruilservice gestuurd, terwijl het platform 112 ETH kon bevriezen.

Elliptic houdt nu deze gemarkeerde adressen in de gaten naast de originele op Ethereum gebaseerde adressen. Nog eens 23 ETH werd verplaatst naar een onbekende exchange hot wallet.

Elliptic waarschuwde ook het bredere ecosysteem voor verdere incidenten van deze aard na het identificeren van een vermelding op een darknet-forum die beweerde "valse bestemmingspagina's" te verkopen voor hackers van gecompromitteerde websites.

Het is onduidelijk of deze vermelding, die slechts een dag voor het Curve Finance DNS-kapingincident werd ontdekt, direct gerelateerd was, maar Elliptic merkte op dat het de methodologieën benadrukt die bij dit soort hacks worden gebruikt.