Curve Finance bị hack gây thất thoát 500,000 USD

Ngày 8/9, Curve Finance, ứng dụng tài chính phi tập trung trên Ethereum đã cảnh báo người dùng về một lỗ hổng trên website bị khai thác, dẫn đến thất thoát 573 nghìn USD.

immihu.web3

Published Aug 10 2022

Updated Aug 10 2022

3 min read

Ngày 8/9, Curve Finance, ứng dụng tài chính phi tập trung hàng đầu đã cảnh báo người dùng về một lỗ hổng trên website, dẫn đến thất thoát 573 nghìn USD.

Theo thông báo từ tài khoản Twitter, Curve Finance, ứng dụng AMM đã cảnh báo người dùng về một lỗ hổng trên website curve.fi của dự án. Đây được cho là một cuộc tấn công từ đối tượng nguy hiểm gây ảnh hưởng đến nameserver và giao diện frontend của ứng dụng.

Don't use https://t.co/vOeMYOTq0l site - nameserver is compromised. Investigation is ongoing: likely the NS itself has a problem
— Curve Finance (@CurveFinance) August 9, 2022

Curve Finance cũng cho biết rằng sàn giao dịch curve.exchange của dự án là một sản phẩm riêng biệt và không bị ảnh hưởng bởi vụ tấn công khi ứng dụng sử dụng tên miền từ một nhà cung cấp khác.

Although you need to proceed with caution, but https://t.co/6ZFhcToWoJ seems to be unaffected - uses a different DNS provider
— Curve Finance (@CurveFinance) August 9, 2022

1 giờ sau khi cảnh báo được ra, đội ngũ dự án đã tìm ra và giải quyết được vấn đề. Tuy nhiên, Curve Finance vẫn hướng dẫn người dùng đã cấp phép cho các hợp đồng trên Curve một vài giờ qua, “revoke” (thu hồi) quyền này ngay lập tức.

The issue has been found and reverted. If you have approved any contracts on Curve in the past few hours, please revoke immediately. Please use https://t.co/6ZFhcToWoJ for now until the propagation for https://t.co/vOeMYOTq0l reverts to normal
— Curve Finance (@CurveFinance) August 9, 2022

Curve cho biết, khả năng cao nhất là đơn vị cung cấp tên miền DNS Iwantmyname bị hack, rồi từ đó thay đổi tên miền của Curve Finance.

Nameserver là một hệ thống giúp điều phối quá trình hoạt động của tên miền website, giúp chuyển đổi từ tên miền sang địa chỉ IP.

Một tài khoản Twitter với tên gọi “LefterisJP” đã chỉ ra rằng kẻ tấn công đã giả mạo tên miền DNS rồi nhân bản ra một website tương tự như Curve Finance. Sau đó, hắn sẽ chuyển tên miền đến địa chỉ IP của website giả mạo. Từ đó, hắn đã lừa người dùng cấp phép cho những hợp đồng thông minh độc hại.

It's DNS spoofing. Cloned the site, made the DNS point to their ip where the cloned site is deployed and added approval requests to a malicious contract.
— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) August 9, 2022

Người dùng đã kết nối với Curve thông qua MetaMask wallet đang gặp có nguy cơ bị trộm mất tiền khỏi ví. ZachXBT, người điều tra on-chain ẩn danh đã báo cáo về số tiền hacker lấy cắp có thể lên đến 570,000 USD.

Looks like $570k stolen

0x50f9202e0f1c1577822BD67193960B213CD2f331 pic.twitter.com/IG6nIKVv59
— ZachXBT (@zachxbt) August 9, 2022

Hacker cố gắng di chuyển số tiền qua FixedFloat, một sàn giao dịch tiền mã hóa tự động trên Bitcoin Lightning Network. Sàn giao dịch này đã đóng băng 200,000 USD ngay sau đó.

Curve Finance được xem là một trong những sàn giao dịch phi tập trung lớn nhất thế giới, nắm giữ hơn 6 tỷ USD tổng giá trị tài sản bị khóa trên giao thức. Trong tháng 7, dự án cũng tiết lộ kế hoạch triển khai một stablecoin mới của riêng mình.