by cryptoblog Sumber : Rekt News
Ujung depan utama Curve Finance, curve.fi, menjadi korban pembajakan DNS kemarin, di mana pengguna diminta untuk menyetujui kontrak berbahaya.
Sekitar $575k dicuri dari pengguna yang menyetujui, dengan hasil dikirim ke CEX dan Tornado Cash. Tampaknya sanksi OFAC tidak menakut-nakuti mereka yang sudah melanggar hukum …
Eksploitasi tidak aktif di curve.exchange, UI alternatif proyek, yang diarahkan oleh tim kepada pengguna saat insiden ditangani. Situs cermin peretas dihapus dengan cepat, namun beberapa server nama masih harus diperbarui.
Episode ini, dan episode lain seperti itu, berfungsi sebagai pengingat bahwa web3 masih berjalan di web2.
Bahkan ketika tulang punggung DeFi bergantung pada infrastruktur lama…
…seberapa terdesentralisasi yang bisa kita klaim?
Seperti peristiwa pembajakan DNS lainnya, identifikasi penyebab pasti jatuh ke penyedia layanan, dan kami harus mengandalkan akun peristiwa mereka, tanpa dapat menguatkan on-chain.
Sejauh ini, iwantmyname belum mengomentari apa yang menyebabkan pembajakan, tetapi Curve percaya bahwa server nama yang mendasarinya telah disusupi, daripada kerentanan di tingkat akun.
Pendiri dan CEO Curve Michael Egorov mengkonfirmasi kecurigaan timnya dengan rekt.news:
Nah untuk saat ini saya dapat mengatakan bahwa pendaftar dns iwantmyname telah ns mereka dikompromikan
Tidak ada peretasan akun
Beralih ns
Selain banyak uang yang diretas yang dibekukan oleh layanan terpusat
Apa yang bisa dilakukan lebih baik .. kita harus mencoba untuk pergi dari web2 hal-hal seperti dns tbh, itu akan menjadi yang terbaik
Rincian lebih lanjut disediakan di sini.
Semua pengguna Curve yang berinteraksi dengan platform harus segera mencabut persetujuan untuk kontrak berbahaya:
0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881.
Alamat penyerang: 0x50f9202e0f1c1577822bd67193960b213cd2f331
Dana yang dicuri (340 ETH, atau ~$575k, total) telah disetorkan ke FixedFloat CEX (292 ETH di mana 112 ETH telah dibekukan) dan Binance (20 ETH) serta Tornado Cash (27,7 ETH)
Saat ini, untuk sebagian besar pengguna, DeFi hanya seaman ujung depan yang dihosting secara terpusat yang berinteraksi dengan mereka.
Karena kontrak yang telah teruji dalam pertempuran yang mengamankan bagian belakang protokol yang sudah mapan menjadi lebih kuat secara bertahap, para pengeksploitasi semakin menargetkan ujung depan. Vektor ini memanfaatkan kepercayaan pengguna dalam kontrak proyek sambil mengabaikan keamanan di balik UI.
Tanpa desentralisasi yang nyata di setiap langkah, kami akan terus melihat serangan pengambilan persetujuan, seperti yang telah memengaruhi pengguna BadgerDAO, Mad Meerkat Finance dan, yang terbaru, pelanggaran Namecheap yang memengaruhi ujung depan empat protokol DeFi.
Untuk semua upaya yang dilakukan dalam keamanan kontrak cerdas, audit, dan desentralisasi kekuasaan pemerintahan, reputasi proyek masih dapat diperbaiki karena kesalahan perusahaan web2.
Selain memantau setiap perubahan situs, protokol DeFi (dan yang lebih penting, pengguna) terjebak mempercayai infrastruktur keamanan dan anggota staf perusahaan lain.
Langkah logis berikutnya adalah protokol yang menghosting Dapps mereka melalui IPFS dan ENS, mengurangi ketergantungan pada penyedia DNS web2.
Sebagian besar pengguna tidak tertarik untuk berurusan langsung dengan kontrak pintar; keamanan ujung depan tidak boleh dianggap sebagai renungan.
Berapa lama lagi web3 akan bergantung pada web2?
