A Curve Finance alertou os usuários a não interagir com o site depois de seqüestrar usuários para um clone malicioso projetado para drenar suas carteiras.
Em 12 de maio, a plataforma Defi emitiu um aviso para X, alertando os usuários de que “o CURVE.FI DNS poderia ser seqüestrado”, se opôs à interação.
Nesse caso, o site oficial do DNS do Curve será reformulado para o frontend malicioso. No seqüestro de front-end, um invasor compromete a camada voltada para o usuário de um site que contém elementos de interface, como botões, formulários e scripts para interceptar a entrada do usuário ou aprovar transações maliciosas.
Visitar um domínio comprometido permite que os usuários conectem suas carteiras e permitam que os atacantes acessem seus fundos sem o seu conhecimento.
Em uma atualização de acompanhamento, o Curve Finance revelou que, embora os contratos inteligentes da Curve permaneçam seguros, o domínio “aponta para o IP errado”.
De acordo com a equipe da Curve, a autenticação de dois fatores na plataforma permanece segura, com solicitações de suporte sendo arquivadas com registradores de domínio para recuperar o controle sobre o DNS.
No momento da última atualização, a equipe disse que ainda estava investigando o incidente, pedindo aos usuários que se abstrem de interagir com o site até que a configuração correta do domínio seja restaurada.
“Hackers mal tentaram”, disse David Zhang, co-fundador da Web3 Fiat OnRamp, Steady. Na postagem de X, Zhang apontou que o seqüestro não contém nada além de um link de drenador incorporado na captura de tela clicável.
Para curvas, esta foi a segunda vez que o DNS foi seqüestrado. Em agosto de 2022, os invasores exploraram uma vulnerabilidade semelhante, mas na época, mais de US $ 570.000 em ativos de criptografia foram desviados ao longo do tempo antes que a questão fosse incluída.
Depois que o invasor tentou mover ativos através de trocas, a Binance congelou mais de US $ 450.000 e o flutuador fixo recuperou 112 ETH. Mais tarde, a Curve mudou seu provedor de DNS e aconselhou os usuários a revogar as autorizações vinculadas ao domínio comprometido.
O incidente também parecia ter caído mais de 7% no CRV, um CRV, que caiu mais de 7% nas últimas 24 horas no momento da redação.
O último seqüestro de DNS ocorre alguns dias após o comprometimento da conta X do Curve Finance. Em 5 de maio, os hackers controlavam facilmente as alças de mídia social da plataforma e publicaram links de phishing usando suas contas. O incidente foi incluído imediatamente e Curve revelou mais tarde que os fundos dos usuários não foram afetados.
“Não encontramos problemas de segurança de nossa parte, os fundos de nossos usuários não foram afetados, não há vítimas de links de phishing publicados por hackers. Todos os sistemas de curvas continuarão a funcionar perfeitamente”.
Ataques semelhantes têm como alvo vários outros projetos de criptografia e contas X de figuras públicas nas últimas semanas, geralmente espalhando links de phishing e promovendo tokens de fraude.
