Protocolo DeFi Curve Finanças relatou uma exploração em seu site. O alerta foi levantado pela primeira vez pelo pesquisador de paradigmas “samczsun”, que relatou que o frontend do Curve Finance estava comprometido e, portanto, alertou os usuários contra seu uso. A equipe por trás do protocolo imediatamente alertou os usuários enquanto afirmava que estava investigando o assunto.
Querido @iwantmeunome, parece que algo está comprometido do seu lado (provavelmente, servidores de nomes - eles parecem substituir o que a interface do usuário lhes diz para servir). Por favor faça alguma coisa.
Para todos os outros: trocamos de servidor de nomes, mas não se apresse em usar https://t.co/vOeMYOTq0l - espere um pouco
- Curve Finance (@CurveFinance) 9 de agosto de 2022
O problema, que parecia ser um ataque ao servidor de nomes e frontend do serviço, foi rapidamente identificado pela equipe. Curve disse através do Twitter que sua troca parecia intocada pelo hack, pois usa um provedor de sistema de nomes de domínio (DNS) diferente.
Não use o frontend ainda. Investigando! https://t.co/8kmtpGsLQQ
- Curve Finance (@CurveFinance) 9 de agosto de 2022
Além disso, advertido que Iwantmyname, o provedor do servidor DNS, foi comprometido e que seu servidor de nomes foi alterado como resultado.
Não use https://t.co/vOeMYOTq0l site – o servidor de nomes está comprometido. A investigação está em andamento: provavelmente o próprio NS tem um problema
- Curve Finance (@CurveFinance) 9 de agosto de 2022
Em uma postagem do Twitter, Steven Ferguson, o fundador da TCPshield, conta o que aconteceu durante a violação. O suposto hacker alterou o registro DNS do protocolo, redirecionando os usuários para um clone falso e aprovando um contrato malicioso.
Após a investigação inicial, isso não parecia ser um sequestro no nível do registrador, mas sim sistemas em @iwantmeunome se comprometeram.
—Steven Ferguson (@szferguson) 9 de agosto de 2022
Mas a equipe agiu rápido para resolver o problema. Depois de emitir o aviso original, a Curve anunciou que havia identificado e corrigido o problema e aconselhou os usuários a retirarem “imediatamente” quaisquer contratos que tivessem acabado de aprovar. Além disso, deixou claro qual contrato precisava ser revogado.
O contrato que precisa ser revogado é: 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 Se você o aprovou, revogue-o imediatamente em https://t.co/9wuWm99AQv https://t.co/2zqnMlqxQE
- Curve Finance (@CurveFinance) 9 de agosto de 2022
De acordo com o relatórios, mais de US$ 570,000 foram roubados no breve ataque.
Fonte: https://u.today/heres-what-happened-during-curve-finances-hijacking-that-put-funds-at-risk