Exploração da Curve Finance: especialistas dissecam o que deu errado
Os invasores que sequestraram a página de destino da Curve Finance agiram rapidamente para converter fundos roubados em vários tokens por meio de diferentes exchanges, carteiras e mixers.
Os protocolos financeiros descentralizados continuam a ser alvo de hackers, com a Curve Finance se tornando a plataforma mais recente a ser comprometida após um incidente de sequestro do sistema de nomes de domínio (DNS).
O criador de mercado automatizado alertou os usuários para não usarem o front-end de seu site na terça-feira (09/08), depois que o incidente foi sinalizado online por vários membros da comunidade de criptomoedas mais ampla.
Embora o mecanismo de ataque exato ainda esteja sob investigação, o consenso é que os invasores conseguiram clonar o site da Curve Finance e redirecionar o servidor DNS para a página falsa. Os usuários que tentaram usar a plataforma tiveram seus fundos drenados para um pool operado pelos invasores.
A Curve Finance conseguiu remediar a situação em tempo hábil, mas os invasores ainda conseguiram desviar o que foi originalmente estimado em US$ 537.000 em USD Coin (USDC) no tempo necessário para reverter o domínio sequestrado. A plataforma acredita que seu provedor de servidor DNS Iwantmyname foi hackeado, o que permitiu que os eventos subsequentes se desenrolassem.
O Cointelegraph entrou em contato com a empresa de análise de blockchain Elliptic para dissecar como os invasores conseguiram enganar usuários desavisados da Curve. A equipe confirmou que um hacker havia comprometido o DNS da Curve, o que levou à assinatura de transações maliciosas.
A Elliptic estima que 605.000 USDC e 6.500 Dai foram roubados antes da Curve encontrar e reverter a vulnerabilidade. Utilizando suas ferramentas de análise de blockchain, a Elliptic rastreou os fundos roubados para várias exchanges, carteiras e mixers diferentes.
Os fundos roubados foram imediatamente convertidos em Ether (ETH) para evitar um possível congelamento do USDC, totalizando 363 ETH no valor de US$ 615.000.
Curiosamente, 27,7 ETH foram lavados através do Tornado Cash sancionado pelo Escritório de Controle de Ativos Estrangeiros dos Estados Unidos. 292 ETH foi enviado para o serviço de exchange e troca de moedas FixedFloat. A plataforma conseguiu congelar 112 ETH e confirmou a movimentação de fundos, segundo um porta-voz da Elliptic:
“Entramos em contato com a exchange, que confirmou mais três endereços nos quais o hacker retirou fundos da exchange (estas foram ordens concluídas que a FixedFloat não conseguiu congelar a tempo). Estes incluem 1 endereço BTC, 1 endereço BSC e 1 endereço LTC.”
A Elliptic agora está monitorando esses endereços sinalizados, além dos endereços originais baseados em Ethereum. Outros 20 ETH foram enviados para uma hot wallet da Binance e outros 23 ETH foram movidos para uma hot wallet desconhecida.
A Elliptic também alertou o ecossistema mais amplo de outros incidentes dessa natureza depois de identificar uma listagem em um fórum da darknet alegando vender “páginas de destino falsas” para hackers de sites comprometidos.
Não está claro se essa listagem, que foi descoberta apenas um dia antes do incidente de sequestro de DNS da Curve Finance, estava diretamente relacionada, mas a Elliptic observou que destaca as metodologias usadas nesses tipos de hacks.
VEJA MAIS:
