La página de inicio de Curve Finance sufrió un secuestro de DNS, redirigiendo a los usuarios a un sitio web clonado que robó 605.000 USDC y 6.700 DAI a sus víctimas.
Los hackers son cada vez más astutos en la industria del blockchain, y recientemente utilizaron un ataque de secuestro de DNS para robar stablecoins a los usuarios de Curve Finance. Aunque no se trata de un concepto nuevo de piratería informática, demuestra cómo el sector de las finanzas descentralizadas (DeFi) de blockchain puede ser vulnerable a ello.
Las Finanzas Descentralizadas, o "DeFi", son un sector de la tecnología blockchain que utiliza contratos inteligentes para crear servicios financieros para criptodivisas y otros tokens, como aplicaciones de préstamos y empréstitos o servicios de intercambio de tokens. Las stablecoins son criptodivisas estables al dólar, y Curve Finance es una aplicación web para intercambiarlas en cantidades masivas sin sufrir "deslizamiento de precios" (cuando la cantidad recibida es menor a la prevista). Por último, el DNS es un protocolo de Internet que conecta un nombre de sitio web legible para el ser humano con su dirección IP legible para el ordenador, y es una de las tecnologías de Internet más antiguas en uso. Si alguna vez se piratea el registro de un servidor DNS, el hacker puede redirigir a un usuario a su sitio web en su lugar, lo que es especialmente malo si el sitio web era una aplicación DeFi o Web3 como Curve Finance.
Todos estos elementos se juntaron en un secuestro de DNS contra Curve Finance. Como informa Cointelegraph, el hacker probablemente obtuvo acceso al servidor de nombres de Curve Finance y cambió la dirección IP de Curve por la del hacker, lo que hizo que los usuarios fueran enviados al sitio web del hacker, donde se colocó un enlace malicioso para robar sus stablecoins. El hacker robó aproximadamente 605.000 USDC y 6.700 stablecoins DAI (con un valor aproximado de 537.000 USD) antes de que se descubriera su trampa, que fueron cambiadas por ETH. El hacker blanqueó 27,7 ETH a través del servicio de mezcla de criptomonedas Tornado Cash, y envió 292 ETH a la bolsa FixedFloat, que pudo congelar 112 ETH una vez descubierto el ataque. Sin embargo, el resto de los ETH fueron intercambiados por BTC, LTC y BNB antes de que se conociera el hackeo, y fueron retirados a sus respectivas redes blockchain, donde ahora son intocables. La empresa de análisis de blockchain Elliptic está vigilando de cerca estas carteras.
Curve Finance nunca fue atacada
Mientras que los fallos en los contratos inteligentes son los sospechosos habituales en un hackeo de DeFi, este no tocó los contratos inteligentes de Ethereum de Curve ni ninguno de los 5.700 millones de dólares de activos almacenados en ellos (según DeFi Llama). Mientras que los contratos inteligentes son mucho más difíciles o incluso imposibles de crackear fuera de una vulnerabilidad, los sitios web pueden ser explotados mucho más fácilmente debido a la infraestructura de décadas de antigüedad de Internet y sus debilidades conocidas. Desde que el DNS se implementó como estándar en 1984, los hackers han tenido casi 40 años para perfeccionar el arte del secuestro del DNS. En Web3, los usuarios pueden tener tokens que tienen un valor real para otros usuarios, y un enlace malicioso puede robar esos tokens, haciendo que los ataques de phishing y el secuestro de DNS sean financieramente destructivos para sus víctimas.
Curve ha cambiado desde entonces su servidor de nombres, pero este tipo de ataque podría volver a ocurrir para cualquier aplicación DeFi si no están utilizando un host DNS seguro para su sitio web. Incluso entonces, los hackers pueden realizar secuestros de DNS de diversas formas contra las que no se puede proteger. Se necesita un mayor desarrollo de la infraestructura de Internet para resolver esta vulnerabilidad, como los dominios NFT para los sitios web descentralizados, o el uso de contratos inteligentes inmutables para reemplazar los registros DNS vulnerables, pero el tiempo dirá cuál será el nuevo estándar a largo plazo para proteger a los usuarios.
Aunque el hacker se ha llevado hasta ahora dos tercios del cripto robado, un tercio fue congelado por el exchange que utilizó y podría ser devuelto a las víctimas. A menudo, los proyectos DeFi mantienen una tesorería para eventos como éste para reembolsar a las víctimas, ya que ser hackeado es sólo parte de hacer negocios en la frontera de la Web3. El secuestro de DNS no es un concepto nuevo, pero con el auge de las aplicaciones de Web3 se ha convertido en una actividad potencialmente lucrativa para aquellos que puedan llevarla a cabo, lo que contribuye a la actual falta de seguridad en DeFi y Web3. Afortunadamente, Curve Finance está ilesa y no ha sufrido pérdidas.
