Martedì scorso, Curve Finance, automated market maker, ha pubblicato un messaggio su Twitter per avvertire gli utenti della presenza di un exploit sul proprio sito. Il team che si occupa del protocollo ha fatto notare che il problema, che sembrava essere un attacco da parte di un attore malintenzionato, riguardava il nameserver e il frontend del servizio.

Non utilizzare il sito https://t.co/vOeMYOTq0l - il nameserver è compromesso. L'indagine è in corso: è probabile che il NS stesso abbia un problema.

— Curve Finance (@CurveFinance) August 9, 2022

 

Curve ha dichiarato via Twitter che il suo exchange — che è un prodotto separato —  non sembra essere stato colpito dall'attacco, in quanto utilizza un diverso fornitore di  domain name system (DNS). 

Tuttavia, il problema è stato rapidamente risolto dal team. Un'ora dopo l'avviso iniziale, Curve ha dichiarato di aver trovato e corretto il problema, invitando gli utenti che hanno approvato contratti su Curve nelle ultime ore a revocarli "immediatamente".

Il problema è stato individuato e ripristinato. Se avete approvato dei contratti su Curve nelle ultime ore, revocateli immediatamente. Si prega di utilizzare https://t.co/6ZFhcToWoJ per ora fino a quando la propagazione di https://t.co/vOeMYOTq0l non tornerà alla normalità.

— Curve Finance (@CurveFinance) August 9, 2022

Curve ha notato che, molto probabilmente, il provider di server DNS Iwantmyname è stato violato, aggiungendo che ha successivamente cambiato il suo nameserver. Un nameserver funziona come una directory che traduce i nomi di dominio in indirizzi IP. Mentre l'exploit era in corso, l'utente Twitter LefterisJP ha ipotizzato che il presunto aggressore abbia probabilmente utilizzato lo spoofing DNS per eseguire l'exploit sul servizio:

Si tratta di spoofing DNS. Hanno clonato il sito, fatto in modo che il DNS puntasse al loro ip dove il sito clonato è installato e aggiunto le richieste di approvazione a un contract maligno.

— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) August 9, 2022

 

Altri partecipanti allo spazio DeFi si sono subito messi su Twitter per diffondere l'avvertimento ai propri follower, e alcuni hanno notato che il presunto ladro sembra aver rubato più di 573.000$.

Avviso a tutti gli utenti di @CurveFinance, il loro frontend è stato compromesso!

Non interagite con esso fino a nuovo avviso!

Sembra che finora siano stati rubati circa 570.000$ #defi #crypto $crv

— Assure DeFi (@AssureDefi) August 9, 2022

Già a luglio, gli analisti avevano suggerito di guardare con attenzione a Curve Finance, nonostante la flessione del mercato che continua a colpire il più ampio spazio DeFi. Tra le ragioni addotte dai ricercatori di Delphi Digital per giustificare il loro interesse, i ricercatori hanno specificamente menzionato le opportunità di rendimento della piattaforma, la domanda di depositi di token Curve DAO (CRV) e il protocollo di revenue dalla liquidità in stablecoin.

Ciò ha fatto seguito al rilascio da parte della piattaforma di un nuovo "algoritmo per lo scambio di asset volatili" a giugno, che prometteva di effettuare swap a basso slippage tra asset "volatili". Queste pool utilizzano una combinazione di oracoli interni che si basano su medie mobili esponenziali (EMA) e su un modello di curva di bonding, precedentemente utilizzato da popolari market maker automatizzati come Uniswap.

Aggiornamento: è stato pubblicato un annuncio da parte di Curve Finance in cui si afferma che il problema è stato risolto, indicando il nameserver come probabile colpevole dell'exploit.