Conclusiones clave
- Curve Finance está sufriendo una explotación en curso.
- Un contrato malicioso ha desviado hasta ahora más de $573,000 de las víctimas.
- El equipo de Curve ha advertido a los usuarios que no interactúen con la interfaz hasta nuevo aviso.
Comparte este artículo
El protocolo DeFi Curve se está explotando actualmente a través de su interfaz. El atacante ya se ha llevado más de 573.000 dólares.
Interfaz de curva explotada
Curve Finance está siendo explotado.
Según el investigador de Paradigm samczsun, la interfaz de Curve está actualmente comprometida. El investigador advirtió a los usuarios de Curve que no utilicen el protocolo hasta nuevo aviso.
Más tarde, Curve apareció para confirmar el exploit en curso en Twitter, escribiendo en respuesta a samczsun, “No uses la interfaz todavía. ¡Investigando!”
Datos en cadena mostrar que el contrato malicioso asociado con el exploit parece haber desviado más de $ 573,000 en USDC y DAI de ocho víctimas diferentes hasta el momento. Los fondos, ya transferido a la billetera del atacante y se intercambiaron por tokens ETH, se enviaron al intercambio de cifrado FixedFloat, primero en lotes de 45 ETH, luego en cantidades que oscilaron entre 20 y 22 ETH.
En el momento de la publicación, el atacante también había comenzado a enviar tokens a través del mezclador de criptomonedas Tornado Cash, que fue sancionado ayer por el Departamento del Tesoro de EE. UU.
El equipo de Curve insinuó que el atacante posiblemente clonó el sitio de Curve, dirigió el Sistema de nombres de dominio (DNS) hacia el sitio fraudulento y luego agregó solicitudes de aprobación al contrato malicioso. Además, aclaró que curve.exchange, a diferencia de curve.fi, parece no haberse visto afectado.
Curve Finance es un protocolo de finanzas descentralizadas (DeFi) que proporciona servicios de comercio de monedas estables “extremadamente eficientes” con bajo deslizamiento y tarifas. Se considera un pilar del ecosistema DeFi, con más de $ 6 mil millones en valor total bloqueado.
Actualización: el equipo de Curve al corriente en Twitter a las 08:27 UTC que el exploit había sido reparado e instó a los usuarios de Curve a revocar los contratos de Curve que hayan aprobado en las últimas horas.
Actualización 2: FixedFloat Anunciado que ha congelado fondos por valor de 112 ETH (aproximadamente 191 000 dólares) en relación con el exploit.
Esta es una historia en desarrollo.
Divulgación: en el momento de escribir este artículo, el autor de este artículo poseía ETH y varias otras criptomonedas.