Theo nguồn tin từ các tài khoảnTwitter bao gồm fiddy, CryptoShine (nhà nghiên cứu Blockchain và an ninh mạng) vào ngày 10/8/ sàn giao dịch Exchange và Dex Curve Finance bị hacker tấn công frontend. Tại thời điểm GFS cập nhật thì số tiền bị hacker đánh cắp theo ước tính ban đầu là 537,000 đô USDC.

Curve Finance đã xác nhận, nguyên nhân có thể do máy chủ định danh đã bị tấn công, khuyên người dùng ko nên approve bất cứ điều gì hoặc thực hiện giao dịch trên ứng dụng.

Curve Finance bị hacker tấn công frontend
Curve Finance bị hacker tấn công frontend

Chi tiết cuộc tấn công

Hacker đã sử dụng một cuộc tấn công giả mạo Dịch vụ Tên miền (DNS), sao chép trang web và chuyển hướng điểm DNS đến địa chỉ IP của chúng. Sau đó, thêm các yêu cầu phê duyệt vào một hợp đồng độc hại để đánh cắp tiền.

Hacker đã cài mã độc JavaScript vào trang chủ của Curve Finance thông qua địa chỉ ví độc hại của hacker. Khi người dùng sử dụng nền tảng của Curve Finance để giao dịch mà đồng ý chấp thuận xác nhận giao dịch trên ví này có thể sẽ bị mất tài sản.

Nguyên nhân

Trong khi cơ chế tấn công chính xác vẫn đang được điều tra, sự đồng thuận là những kẻ tấn công đã quản lý để sao chép trang web Curve Finance và định tuyến lại máy chủ DNS đến trang giả mạo. Những người dùng cố gắng sử dụng nền tảng sau đó đã rút hết tiền của họ vào một nhóm do những kẻ tấn công điều hành.

Theo điều tra ban đầu của tài khoản twitter CryptoShine (nhà nghiên cứu Blockchain và an ninh mạng), đây không phải là một vụ xâm nhập ở cấp tổ chức đăng ký tên miền, mà là các hệ thống tại iwantmyname đã tự xâm nhập.

iwantmyname: ứng dụngtTìm kiếm tên miền, đăng ký và quản lý DNS.

Theo nhận định của tài khoản twitter Lefteris Karapetsas (nhà sáng lập của Rotkiapp: ứng dụng bảo vệ quyền riêng tư của người dùng): Đó là giả mạo DNS. Nhân bản trang web, đặt DNS trỏ tới ip của họ nơi trang web nhân bản được triển khai và thêm yêu cầu phê duyệt vào một hợp đồng độc hại.

Cập nhật từ Curve Finance: máy chủ định danh đã bị xâm phạm. Đang tiến hành điều tra: có khả năng chính NS có vấn đề. Theo Curve Finance nguyên nhân đến từ nhà cung cấp máy chủ DNS Iwantmyname của họ đã bị tấn công: rất có thể là máy chủ định danh – chúng dường như ghi đè những gì mà giao diện người dùng yêu cầu chúng phân phát).

Thiệt hại

Curve Finance đã cố gắng khắc phục tình hình kịp thời nhưng những kẻ tấn công vẫn tìm cách lấy đi số tiền được ước tính ban đầu là USD Coin (USDC ) trị giá 537.000 đô trong thời gian cần thiết để hoàn nguyên miền bị tấn công.

Thủ phạm

Địa chỉ hợp đồng độc hại của hacker: 0x9Eb5F8e83359Bb5013f3D8eee60bDCe5654e8881

Mã JavaScript được đưa vào trang chủ của Curve Finance: curve [.] Fi / js / app.ca2e5d81.js

Mã JavaScript được đưa vào trang chủ của Curve Finance
Mã JavaScript được đưa vào trang chủ của Curve Finance

Giải pháp

Sự cố đã được tìm thấy và hoàn nguyên. Nếu người dùng đã chấp thuận bất kỳ hợp đồng nào trên Curve Finance trong khoảng thời gian hacker tấn công, vui lòng thu hồi ngay lập tức.

Người dùng có thể sử dụng nền tảng Exchange trên Curve Finance để giao dịch.  http://curve.exchange còn không nên sử dụng nền tảng Dex trên Curve Finance cho đến khi http://curve.fi được cập nhật an toàn và có thông báo từ dự án.

Hợp đồng cần được thu hồi là: 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 Nếu người dùng đã chấp thuận, vui lòng thu hồi ngay trên https://revoke.cash.

Kết luận

Khi thị trường rơi vào sụt giảm thì tác động lên tất cả, bắt đầu từ nhà đầu tư cá nhân nhỏ lẻ, đến các dự án, quỹ đầu tư, tổ chức tài chính và ngay cả các hacker cũng vậy.

Đây là thời điểm khá nhạy cảm. Khi các nền tảng DeFi trên các hệ sinh thái như: các sàn Dex, Cex, Bridge, Lending & Borrowing, Farming, Staking liên tục bị tấn công thông qua nhiều hình thức khác nhau, mà điển hình nhất là tấn công Flash (các khoản vay nhanh), thông qua Bridge (cầu). Tuy chúng ta không phải là người trực tiếp bị tấn công nhưng gián tiếp gửi tài sản trên các nền tảng đó thì chúng ta cũng bị ảnh hưởng chung với dự án.

Người dùng khi sử dụng các nền tảng ứng dụng DeFi nên tìm hiểu thật kỹ, đảm bảo đã hiểu về nó, đặc biệt là việc phân bổ vốn để tham gia. Trong thị trường này không chỉ riêng cá mập muốn rút tiền của các nhà đầu tư nhỏ lẻ mà ngay cả các hacker họ cũng muốn đánh cắp tiền của mình nữa, nên mọi người nên quản lý và phân bổ tài sàn đầu tư của mình cho thật an toàn.