DeFi-protocol Kromme Financiën heeft een exploit op zijn site gemeld. De waarschuwing werd voor het eerst naar voren gebracht door paradigma-onderzoeker "samczsun", die meldde dat de frontend van Curve Finance was gecompromitteerd en daarom gebruikers waarschuwde voor het gebruik ervan. Het team achter het protocol waarschuwde gebruikers onmiddellijk en verklaarde dat ze de zaak aan het onderzoeken waren.
Geachte @iwantmijnnaam, lijkt het erop dat er iets aan uw kant is gecompromitteerd (hoogstwaarschijnlijk naamservers - ze lijken te negeren wat de gebruikersinterface hen vertelt te dienen). Doe alsjeblieft iets.
Voor alle anderen: we zijn van naamserver veranderd, maar haast je niet om te gebruiken https://t.co/vOeMYOTq0l - wacht even
- Curve Finance (@CurveFinance) 9 Augustus 2022
Het probleem, dat leek op een aanval op de nameserver en frontend van de service, werd snel door het team geïdentificeerd. Curve zei via Twitter dat hun uitwisseling onaangetast leek te zijn door de hack omdat het een andere domeinnaamsysteem (DNS) -provider gebruikt.
Gebruik de frontend nog niet. Onderzoeken! https://t.co/8kmtpGsLQQ
- Curve Finance (@CurveFinance) 9 Augustus 2022
Bovendien is het waarschuwde dat Iwantmyname, de DNS-serverprovider, was gecompromitteerd en dat de naamserver als gevolg daarvan was gewijzigd.
Niet gebruiken https://t.co/vOeMYOTq0l site - nameserver is gecompromitteerd. Onderzoek loopt: waarschijnlijk heeft de NS zelf een probleem
- Curve Finance (@CurveFinance) 9 Augustus 2022
In een Twitter-bericht, Steven Ferguson, de oprichter van TCPshield, vertelt wat er gebeurde tijdens de inbreuk. De vermeende hacker heeft het DNS-record van het protocol gewijzigd, gebruikers omgeleid naar een valse kloon en een kwaadaardig contract goedgekeurd.
Bij het eerste onderzoek leek dit geen kaping op registrar-niveau, maar eerder systemen op @iwantmijnnaam zichzelf gecompromitteerd.
— Steven Ferguson (@szferguson) 9 Augustus 2022
Maar het team kwam snel in actie om het probleem op te lossen. Na de oorspronkelijke waarschuwing te hebben afgegeven, kondigde Curve aan dat het het probleem had geïdentificeerd en opgelost en adviseerde gebruikers om "onmiddellijk" alle contracten die ze zojuist hadden goedgekeurd, in te trekken. Bovendien werd duidelijk welk contract moest worden herroepen.
Het contract dat moet worden herroepen is: 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 Als u het hebt goedgekeurd, herroep het dan onmiddellijk op https://t.co/9wuWm99AQv https://t.co/2zqnMlqxQE
- Curve Finance (@CurveFinance) 9 Augustus 2022
Think meldt, meer dan $ 570,000 werden gestolen in de korte aanval.
Bron: https://u.today/heres-what-happened-during-curve-finances-hijacking-that-put-funds-at-risk