- 与协议漏洞相比,DNS劫持造成的损失相对较小
- DeFi dapp 的操作安全性和技术安全性都有望提高
本周,币安成功冻结或收回了黑客从 DeFi 协议 Curve Finance 窃取的大部分资金,该交易所的首席执行官 赵昌鹏 星期五说。
赵在一条推文中表示,该交易所正在与执法部门合作,将资金返还给用户。 曲线 转推 赵的发帖,明显印证了事态的发展。
Curve——第四大 DeFi(去中心化金融)协议,锁定总价值约 6 亿美元(TVL)—— 被安全事件袭击 9 月 570,000 日,它警告用户不要使用其网站。 据信,价值约 XNUMX 美元的代币在黑客攻击中被盗。
与协议漏洞不同的是,罪魁祸首利用了在线服务提供商的安全缺陷——在这种情况下,是 Curve 的域名系统 (DNS)。 DNS 将可读的网站名称映射到 IP 地址。
GlobalBlock 分析师 Marcus Sotiriou 表示,黑客修改了 DNS 翻译的 IP 地址, curve.fi 网站. 他在一份说明中说,他们提供了自己服务器的 IP 地址并创建了一个相同的 Web 应用程序,允许他们创建新的智能合约来窃取资金。 用户正在批准实际上窃取他们资金的交易。
在过去的两年中,此类攻击在加密行业变得普遍,因为窃贼正在寻找将加密用户从他们的资金中分离出来的方法。
上个月,基础设施提供商 Ankr 被击中 社会工程学发起的 DNS 攻击。
“这是一个例子,说明对 DeFi 中的用户来说,充分了解他们使用的协议是多么重要,”Sotiriou 说。
“如果人们检查了他们与之交互的所有智能合约,他们本可以保护自己,”他说。
但这超出了绝大多数 DeFi 用户的技术知识范围。 泰迪·伍德沃德, Notional Finance 的联合创始人。
“普通零售用户不会审查他们与之交互的智能合约 [但] 我认为更大或更专业的用户(如企业和基金)在那里做出努力是合理的,而且许多人这样做,”伍德沃德告诉 Blockworks,并补充说随着时间的推移,DeFi 协议的安全性一直呈上升趋势。
每个漏洞利用都会强化 dapp 并使它们对普通用户更安全。
“我把它想象成飞机旅行,”伍德沃德说。 “这曾经非常危险,现在比开车还安全。”
每天晚上将当天的顶级加密新闻和见解发送到您的收件箱。 订阅 Blockworks 的免费通讯 现在。