Curve Finance - 翻车

Curve Finance的主要前端curve.fi 昨天 成为DNS劫持的受害者，用户被要求批准恶意合约。

已经批准的用户被盗了约57.5万美元，钱被发送到CEXs和Tornado Cash——看来OFAC的制裁并没有吓到那些已经违法的人......

该漏洞没有发生在curve.exchange（项目的备用用户界面）上，在处理该事件时，团队将用户引导到该处。黑客的镜像网站很快就被下架了，但一些域名服务仍有待更新。

这一事件以及其他类似事件，都明确地提醒大家，web3仍然运行在web2上。

当连DeFi的基石都依赖于传统的基础设施时......

...我们怎么能说自己那么的去中心化？

与其他DNS劫持事件一样，确切原因的识别由服务提供商负责，我们只能依赖他们对事件的解释，而无法在链上证实。

到目前为止，iwantmyname还没有对劫持的确切原因发表评论，但Curve认为，底层的域名服务器被破解了，而不是账户层面的漏洞。

Curve创始人兼首席执行官Michael Egorov向rekt.news证实了他的团队的猜测：

现在我可以说，DNS注册商iwantmyname的ns被入侵了

没有账户被黑

切换了ns

除了一大笔被中心化服务冻结的黑钱

我们应该尝试远离像DNS这样的web2事物，这将是最好的。

这里提供了更多的细节。

所有与平台互动的Curve用户应立即撤销对恶意合约的批准：

0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881.

黑客的地址：0x50f9202e0f1c1577822bd67193960b213cd2f331

被盗资金（340ETH，或约575000美元，总计）已存入CEXs FixedFloat（292ETH，其中112ETH已被冻结）和Binance（20ETH），以及Tornado Cash（27.7ETH）。

目前，对于绝大多数用户来说，DeFi的安全程度只等同于与之交互的中心化托管的前端。

随着久经考验的后端合约逐渐变得更加强大，黑客越来越多地将目标放在前端。这种攻击载体利用了用户对项目合约的信任，而忽略了用户界面背后的安全。

如果没有每一步真正的去中心化，我们将继续看到合约批准攻击，例如那些影响BadgerDAO、Mad Meerkat Finance用户的攻击，以及最近影响四个DeFi协议前端的Namecheap漏洞。

即使有在智能合约安全、审计和治理权力分散方面所做的努力，项目的声誉仍然会因为一个web2公司的错误而受到影响。

除了监测任何网站的变化外，DeFi 协议(更重要的是，用户)无法信任另一家公司的安全基础设施和员工。

下一个合乎逻辑的措施是协议通过IPFS和ENS托管他们的Dapps，减少对web2 DNS供应商的依赖。

绝大多数用户对直接与智能合约打交道不感兴趣；不应该事后才考虑前端安全性。

web3对web2的依赖还将持续多久？

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。