Exploit de Curve Finance: expertos diseccionan lo que salió mal

Los protocolos de finanzas descentralizadas (DeFi) siguen siendo objetivo de los hackers, y Curve Finance se ha convertido en la más reciente plataforma atacada tras un incidente de secuestro de DNS.

El 9 de agosto, el creador de mercado automatizado advirtió a los usuarios de que no utilizaran el front end de su sitio web, luego de que varios miembros de la comunidad cripto señalaran el presunto exploit.

Aunque la forma exacta en la que se llevó a cabo el ataque aún se está investigando, el consenso es que los atacantes lograron clonar el sitio web de Curve Finance y redirigieron el servidor DNS a la página falsa. Los usuarios que intentaron hacer uso de la plataforma vieron cómo sus fondos eran depositados en pool operado por los atacantes.

Curve Finance consiguió remediar la situación a tiempo, pero los atacantes consiguieron desviar lo que en un principio se estimó en USD 537,000 en USD Coin (USDC) en el tiempo que tardó en revertir el dominio secuestrado. La plataforma cree que su proveedor de servidores DNS, Iwantmyname, fue hackeado, lo que permitió el desarrollo de los acontecimientos posteriores.

Cointelegraph se puso en contacto con la empresa de análisis de blockchain, Elliptic, para analizar cómo los atacantes lograron engañar a los usuarios confiados de Curve. El equipo confirmó que un hacker había comprometido el DNS de Curve, lo que llevó a la firma de transacciones maliciosas.

Elliptic estima que se robaron 605,000 USDC y 6,500 DAI antes de que Curve encontrara y revirtiera la vulnerabilidad. Utilizando sus herramientas de análisis de la cadena de bloques, Elliptic rastreó los fondos robados hasta una serie de exchanges, billeteras y mezcladores diferentes.

Los fondos robados se convirtieron inmediatamente en Ether (ETH) para evitar una posible congelación de USDC, ascendiendo a 363 ETH por valor de USD 615,000.

Curiosamente, 27.7 ETH se “lavaron” a través del ahora sancionado por la OFAC, Tornado Cash. 292 ETH se enviaron al servicio de intercambio de monedas, FixedFloat. La plataforma consiguió congelar 112 ETH y confirmó el movimiento de fondos según un portavoz de Elliptic:

“Hemos mantenido contacto con el intercambio, que confirmó otras tres direcciones en las que el hacker retiró fondos del exchange (eran órdenes completadas que FixedFloat no pudo congelar a tiempo). Estas incluyen 1 dirección de BTC, 1 dirección de BSC y 1 dirección de LTC”.

Elliptic está supervisando ahora estas direcciones marcadas, además de las direcciones originales basadas en Ethereum. Otros 20 ETH se enviaron a una billetera caliente de Binance, y otros 23 ETH se trasladaron a la billeteras caliente de un exchange desconocido.

Elliptic también advirtió al ecosistema en general de nuevos incidentes de esta naturaleza tras identificar un listado en un foro de la darknet que afirmaba vender “páginas de aterrizaje falsas” para hackers de sitios web comprometidos.

No está claro si este listado, que se descubrió justo un día antes del incidente de secuestro de DNS de Curve Finance, estaba directamente relacionado, pero Elliptic señaló que pone de manifiesto las metodologías utilizadas en este tipo de hackeos.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.