Протокол Curve Finance - REKT

Главный фронт-енд протокола Curve Finance, curve.fi, вчера стал жертвой захвата DNS, пользователям предлагалось давать разрешение вредоносному контракту.

У тех пользователей, кто дал разрешение, было украдено приблизительно $575 тысяч, добычу переслали на централизованные биржи и в Tornado Cash. Похоже, что санкции OFAC не пугают тех, кто и так уже нарушает закон…

Эксплоит не затронул curve.exchange, являющийся альтернативным UI проекта, и на который команда перенаправляла пользователей во время работы над инцидентом. Зеркальный сайт хакера быстро устранили, но все же некоторые именные серверы еще предстоит обновить.

Этот случай, и другие подобные ему служат жестким напоминанием о том, что web3 все еще работает на основе web2.

Когда даже основа DeFi зависит от устаревшей инфраструктуры...

...насколько децентрализованными мы можем себя считать?

Как и в случае с другими перехватами DNS, определение точной причины возлагается на поставщика услуг, и мы должны полагаться на их хронику событий, не имея возможности подтвердить их на месте.

Поэтому iwantmyname еще предстоит прокомментировать, что же конкретно привело к перехвату, но в Curve считают, что дело в компрометировании соответствующего именного сервера, а не в уязвимости на уровне аккаунта.

Основатель и генеральный директор Curve, Михаил Егоров подтвердил rekt.news подозрения его команды:

На данный момент я могу сказать, что регистратор dns iwantmyname скомпрометировал свои ns

Хака аккаунта не было

Мы поменяли именной сервер

Кстати немало украденных денег были заморожены централизованными сервисами

Что можно было сделать лучше... нам нужно попытаться уходить от таких вещей из web2 как dns, если честно, так было бы лучше всего

Более подробная информация предоставлена здесь.

Все пользователи Curve, взаимодействовавшие с платформой, должны немедленно отозвать доступ, данный вредоносному контракту:

0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881.

Адрес хакера: 0x50f9202e0f1c1577822bd67193960b213cd2f331

Украденные деньги (340 ETH, или ~$575 тысяч, в общей сложности) были депонированы в FixedFloat централизованной биржи (292 ETH, из которых 112 ETH были заморожены) и Binance (20 ETH), а также в Tornado Cash (27.7 ETH)

На сегодняшний день для большинства пользователей децентрализованные финансы безопасны ровно настолько, насколько безопасны их фронт-енды, с которыми они взаимодействуют и которые хранятся на централизованных серверах.

По мере того, как проверенные боем контракты, которые обеспечивают безопасность бэк-енда устоявшегося протокола, становятся все более устойчивыми, эксплоитеры все чаще выбирают своей мишенью пользовательский интерфейс. Этот вектор использует доверие пользователей к контрактам проекта, упуская из виду безопасность, стоящую за пользовательским интерфейсом.

Без настоящей децентрализации на всех уровнях мы продолжим сталкиваться с атаками, наживающимися на механизме предоставления доступа, как те, что затронули пользователей BadgerDAO, Mad Meerkat Finance и, совсем недавно, уязвимость Namecheap, из-за которой пострадали пользовательские интерфейсы четырех протоколов DeFi.

При всех усилиях, вложенных в безопасность смарт-контрактов, аудитах и децентрализации права голоса репутация проекта все еще может оказаться rekt по вине web2-корпорации.

Помимо мониторинга любых изменений на сайте, DeFi-протоколы (и что более важно, пользователи) вынуждены доверять инфраструктуре безопасности и сотрудникам другой компании.

Следующим логическим шагом должен стать хостинг протоколами своих Dapps через IPFS и ENS, сокращая зависимость от провайдеров DNS от web2.

Подавляющее большинство пользователей не заинтересовано в том, чтобы напрямую взаимодействовать со смарт-контрактами, поэтому безопасность фронт-енда не должна уходить на второй план.

Сколько еще web3 будет полагаться на web2?

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.