Stablecoin Borsası Eğrisi Finans Hack Açıklaması

Bilgisayar korsanları giderek daha akıllı hale geliyor blok zinciri endüstrisinde ve son zamanlarda stabilcoinleri çalmak için bir DNS ele geçirme saldırısı kullandı. Eğri Finanskullanıcıları. Bu, bilgisayar korsanlığı için yeni bir kavram olmasa da, Blockchain'in Merkezi Olmayan Finans (DeFi) sektörünün buna karşı nasıl savunmasız olabileceğini gösteriyor.

Merkezi Olmayan Finans veya "DeFi", bir sektördür akıllı sözleşmeler kullanan blockchain teknolojisi ödünç verme ve ödünç alma uygulamaları veya belirteç takas hizmetleri gibi kripto para birimleri ve diğer belirteçler için finansal hizmetler oluşturmak. Stabilcoinler, dolar karşısında istikrarlı kripto para birimleridir.ve Curve Finance, bunları büyük miktarlarda acı çekmeden takas etmek için bir web uygulamasıdır "fiyat kayması" (alınan miktar tahmin edilenden az olduğunda). Son olarak DNS, insan tarafından okunabilen bir web sitesi adını bilgisayar tarafından okunabilen IP adresiyle bağlayan bir internet protokolüdür ve kullanımda olan en eski internet teknolojilerinden biridir. Bir DNS sunucusunun kayıt defteri saldırıya uğrarsa, bilgisayar korsanı bir kullanıcıyı bunun yerine web sitesine yönlendirebilir; bu, web sitesi Curve Finance gibi bir DeFi veya Web3 uygulamasıysa özellikle kötüdür.

Tüm bu unsurlar, Curve Finance'e karşı bir DNS kaçırmada bir araya geldi. tarafından bildirildiği gibi Cointelegraph, bilgisayar korsanı muhtemelen Curve Finance'in ad sunucusuna erişim kazandı ve Curve'nin IP adresini bilgisayar korsanının IP'si olarak değiştirdi kullanıcıların, bilgisayar korsanlarının web sitelerini çalmak için kötü amaçlı bir bağlantının yerleştirildiği web sitesine gönderilmesiyle sonuçlanır. sabit paralar. Hacker, tuzakları keşfedilmeden önce yaklaşık 605.000 USDC ve 6.700 DAI stabilcoin (yaklaşık 537.000 USD değerinde) çaldı ve bunların tümü ETH ile değiştirildi. Bilgisayar korsanı, 27.7 ETH'yi akladı. Tornado Cash kripto karıştırıcı hizmetive saldırı keşfedildikten sonra 112 ETH'yi dondurabilen FixedFloat borsasına 292 ETH gönderdi. Bununla birlikte, ETH'nin geri kalanı, saldırı bilinmeden önce BTC, LTC ve BNB ile değiştirildi ve artık dokunulmaz oldukları ilgili blok zinciri ağlarına çekildi. Blockchain analitik firması Elliptic, bu cüzdanları yakından izliyor.

Curve Finance Asla Saldırıya Uğramadı

Akıllı sözleşme hataları, bir DeFi hackinde olağan şüpheli olsa da, bu, Curve'nin Ethereum akıllı sözleşmelerine veya bunlarda depolanan 5,7 milyar dolarlık varlıkların hiçbirine dokunmadı (göre). DeFi Lama). Akıllı sözleşmelerin bir güvenlik açığının dışında kırılması çok daha zor hatta imkansız olsa da, web siteleri internetin onlarca yıllık altyapısı ve bilinen zayıflıklar. DNS 1984'te bir standart olarak uygulandığından, bilgisayar korsanlarının DNS ele geçirme sanatını geliştirmek için neredeyse 40 yılı oldu. Web3'te kullanıcılar, diğer kullanıcılar için gerçek değeri olan belirteçleri tutabilir ve kötü niyetli bağlantı bu belirteçleri çalabilir, kimlik avı saldırılarını ve DNS korsanlığını kurbanları için finansal olarak yıkıcı hale getiriyor.

Curve o zamandan beri ad sunucusunu değiştirdi, ancak web siteleri için güvenli bir DNS ana bilgisayarı kullanmıyorlarsa bu tür bir saldırı herhangi bir DeFi uygulaması için tekrar olabilir. O zaman bile, bilgisayar korsanları, korunamayan çeşitli şekillerde DNS ele geçirmeleri gerçekleştirebilir. Bu güvenlik açığını gidermek için daha fazla internet altyapısı geliştirmesi gerekiyor. Merkezi olmayan web siteleri için NFT alanlarıveya savunmasız DNS kayıtlarını değiştirmek için değişmez akıllı sözleşmeler kullanmak, ancak kullanıcıları korumak için yeni uzun vadeli standardın ne olacağını zaman gösterecek.

Hacker, çalınan kripto paranın 2/3'ü ile şimdiye kadar kaçarken, 1/3'ü kullandıkları borsa tarafından donduruldu ve kurbanlara iade edilebildi. Saldırıya uğramak Web3 sınırında iş yapmanın sadece bir parçası olduğu için, DeFi projeleri genellikle mağdurlara tazminat ödemek için bu tür olaylar için bir hazine bulundurur. DNS ele geçirme yeni bir kavram değil, ancak Web3 uygulamalarının yükselişi ile bunu başarabilenler için potansiyel olarak kazançlı bir faaliyet haline geldi ve bu da mevcut duruma katkıda bulunuyor. DeFi ve Web3'te güvenlik eksikliği. Neyse ki, Eğri Finans kendisi zarar görmemiştir ve herhangi bir zarara uğramamıştır.

Kaynak: Cointelegraph, DeFi Lama