Curve Finance는 2022년에 암호화 공간을 대량으로 파괴한 익스플로잇의 긴 목록에서 가장 최근의 표적이 되었습니다. 프로토콜은 사이트의 네임서버와 프런트 엔드에 대한 익스플로잇으로 인해 573,000달러 이상의 손실이 발생했다고 보고했습니다. 그 이후로 프로토콜은 문제가 발견되어 수정되었다고 보고했습니다.
Curve Finance에서 $570,000 도난
Automated Market Maker Curve Finance는 화요일 트위터에 사이트의 악용에 대해 경고했습니다. Curve 팀은 악의적인 행위자가 조정한 것으로 보이는 사이트의 프런트 엔드 및 네임 서버에 영향을 미치는 문제를 인정했습니다. 트위터에 명시된 프로토콜,
텔레그램의 발표는 “우리는 잘못된 계약을 승인하는 잠재적인 프런트 엔드 문제를 인지하고 있습니다. “당분간 승인이나 스왑을 하지 마십시오. 우리는 문제를 찾으려고 노력하고 있지만 지금은 안전을 위해 Curve.fi 또는 curve.exchange를 사용하지 마십시오.”
팀은 첫 번째 발표 직후 두 번째 발표를 통해 문제의 원인을 찾아 문제를 해결했다고 밝혔습니다. 그러나 프로토콜은 사용자에게 지난 몇 시간 동안 프로토콜의 프런트 엔드와 네임서버가 손상되었을 때 수행했을 수 있는 계약 승인을 취소하도록 요청했습니다.
"지난 몇 시간 동안 Curve에 대한 계약을 승인했다면 즉시 취소하십시오."
Curve에 대한 공격은 유목민, 프로토콜이 190억 XNUMX만 달러의 손실을 입었습니다.
영향을 받지 않는 교환
Curve는 후속 조치에서 별도의 제품인 거래소가 해킹의 영향을 받지 않았다고 밝혔습니다. 이는 교환기가 다른 DNS(도메인 이름 시스템) 공급자를 사용하기 때문입니다. 프로토콜은 사용자가 Curve.fi가 정상으로 돌아올 때까지 Curve.exchange를 계속 사용해야 한다고 추가했습니다.
"문제가 발견되어 복구되었습니다. 지난 몇 시간 동안 Curve에서 승인한 계약이 있으면 즉시 취소하십시오. http://curve.fi의 전파가 정상화될 때까지 당분간 http://curve.exchange를 이용하십시오.”
Curve에 따르면 해커는 Curve Finance의 도메인 이름 시스템 항목을 변경한 것으로 보입니다. 이것은 악성 계약을 승인한 가짜 클론으로 사용자를 전달했습니다. 그러나 프로그램의 계약은 해킹에 의해 손상되지 않았습니다.
트위터의 알람 벨
Curve Finance에 대한 공격이 진행되는 동안 Twitter 사용자는 공격의 출처를 추측했습니다. 사용자 LefterisJP는 공격자가 Curve에 대한 공격을 실행하기 위해 DNS 스푸핑을 사용했다고 추측했습니다.
“DNS 스푸핑입니다. 사이트를 복제하고 DNS가 복제된 사이트가 배포된 IP를 가리키도록 하고 악의적인 계약에 승인 요청을 추가했습니다.”
트위터의 다른 사용자들은 프로토콜의 프론트엔드가 손상되었다고 말하면서 동료 사용자들에게 진행 중인 익스플로잇에 대해 신속하게 경고했고, 다른 사용자들은 해커가 573,000달러 이상을 훔쳤다고 지적했습니다.
곡선에 대한 중요한 영향
최근 시장 침체에도 불구하고 Curve는 여전히 실행 가능한 옵션으로 남아 있다고 XNUMX월에 언급한 분석가들 사이에서 호평을 받고 있는 Curve.finance의 익스플로잇 타이밍이 더 나쁠 수 없었습니다. 연구원들은 특히 Curve DAO 토큰 예금에 대한 수요 증가, 프로토콜의 수익률 기회 및 스테이블 코인 유동성 덕분에 수익 창출을 지적하면서 프로토콜에 대한 강세에 대한 몇 가지 이유를 가지고 있습니다.
이 관찰은 프로토콜이 휘발성 자산의 교환을 허용하는 새로운 알고리즘을 출시한 후 나온 것이며, 모든 휘발성 자산 간에 낮은 슬립 스왑을 허용할 것을 약속했습니다. 풀은 이전에 Uniswap과 같은 시장 조성자가 배포한 내부 오라클과 본딩 곡선 모델을 사용합니다.
면책 조항 :이 문서는 정보 제공 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 제공되거나 사용되도록 의도되지 않았습니다.
출처: https://cryptodaily.co.uk/2022/08/curve-finance-asks-users-to-revoke-recent-contracts-after-dns-hack