Hakeri postaju sve pametniji u blockchain industriji, a nedavno su upotrijebili napad otmice DNS-a kako bi ukrali stablecoine Curve Finance korisnika. Iako ovo nije novi koncept za hakiranje, on pokazuje kako sektor decentraliziranih financija (DeFi) blockchaina može biti ranjiv na njega.
bazen sjaja ruševine mita drannor
Decentralizirane financije, ili ' DeFi ', je sektor blockchain tehnologije koji koristi pametne ugovore za stvaranje financijskih usluga za kriptovalute i druge tokene, kao što su aplikacije za pozajmljivanje i posuđivanje ili usluge zamjene tokena. Stablecoini su kriptovalute stabilne prema dolaru, a Curve Finance je web aplikacija za njihovu razmjenu u ogromnim količinama bez trpljenja. proklizavanje cijene ' (kada je primljeni iznos manji od predviđenog). Konačno, DNS je internetski protokol koji povezuje čitljiv naziv web stranice s njegovom računalo čitljivom IP adresom i jedna je od najstarijih internetskih tehnologija u upotrebi. Ako je registar DNS poslužitelja ikad hakiran, haker umjesto toga može preusmjeriti korisnika na njihovu web stranicu, što je posebno loše ako je web stranica DeFi ili Web3 aplikacija poput Curve Finance.
Povezano: Što bi korisnici Web3 aplikacije za strujanje glazbe trebali znati o hakiranju od 6 milijuna dolara
Svi ovi elementi spojili su se u otmici DNS-a protiv Curve Finance. Kako javlja Cointelegraph , haker je vjerojatno dobio pristup poslužitelju imena tvrtke Curve Finance i promijenio IP adresu Curve u IP adresu hakera, što je rezultiralo slanjem korisnika na web mjesto hakera gdje je postavljena zlonamjerna poveznica za krađu njihovih stabilnih kovanica. Haker je ukrao približno 605 000 USDC i 6 700 DAI stabilnih kovanica (vrijednih približno 537 000 USD) prije nego što je njihova zamka otkrivena, a svi su zamijenjeni za ETH. Haker je oprao 27,7 ETH putem Tornado Cash usluge kripto miksera i poslao 292 ETH burzi FixedFloat, koja je uspjela zamrznuti 112 ETH nakon što je napad otkriven. Međutim, ostatak ETH-a zamijenjen je za BTC, LTC i BNB prije nego što se saznalo za hakiranje, te su povučeni u svoje odgovarajuće blockchain mreže gdje su sada nedodirljivi. Tvrtka za analitiku blockchaina Elliptic pomno prati ove novčanike.
Curve Finance nikad nije napadnut
Dok su greške u pametnim ugovorima uobičajeni sumnjivci u hakiranju DeFi-ja, ovaj se nije dotaknuo Curveovih Ethereum pametnih ugovora niti bilo koje od 5,7 milijardi dolara imovine pohranjene u njima (prema DeFi pozivi ). Dok je pametne ugovore puno teže ili čak nemoguće probiti izvan ranjivosti, web-mjesta se mogu mnogo lakše iskoristiti zbog desetljećima stare infrastrukture interneta i njegovih poznatih slabosti. Otkako je DNS implementiran kao standard 1984. godine, hakeri su imali gotovo 40 godina da usavrše umijeće otmice DNS-a. U Web3 korisnici mogu držati tokene koji imaju stvarnu vrijednost za druge korisnike, a zlonamjerna veza može ukrasti te tokene, čineći phishing napade i otmicu DNS-a financijski destruktivnim za njihove žrtve.
Curve je u međuvremenu promijenio svoj poslužitelj imena, ali ova vrsta napada mogla bi se ponoviti za bilo koju DeFi aplikaciju ako ne koristi sigurni DNS host za svoje web mjesto. Čak i tada, hakeri mogu otimati DNS na različite načine od kojih se nije moguće zaštititi. Potreban je daljnji razvoj internetske infrastrukture za rješavanje ove ranjivosti, kao što su NFT domene za decentralizirana web-mjesta ili korištenje nepromjenjivih pametnih ugovora za zamjenu ranjivih DNS registara, ali vrijeme će pokazati kakav će biti novi dugoročni standard za zaštitu korisnika.
Dok se haker do sada izvukao s 2/3 ukradene kriptovalute, 1/3 je zamrznuta razmjenom koju su koristili i mogla bi biti vraćena žrtvama. DeFi projekti često drže riznicu za ovakve događaje kako bi nadoknadili troškove žrtvama, budući da je hakiranje samo dio poslovanja na granici Web3. Otmica DNS-a nije novi koncept, ali s porastom Web3 aplikacija postala je potencijalno unosna aktivnost za one koji to mogu izvesti, što pridonosi trenutnom nedostatku sigurnosti u DeFi-ju i Web3. srećom, Curve Finance sam je neozlijeđen i nije pretrpio nikakve gubitke.
Sljedeće: Nomad Blockchain Bridge opljačkali su kripto korisnici za 190 milijuna dolara
dragon age inquisition ps4 varalice nakon zakrpe
Izvor: Cointelegraph , DeFi pozivi