उनके आधिकारिक ट्विटर के माध्यम से संभालना, एथेरियम-आधारित विकेन्द्रीकृत वित्त (डीएफआई) प्रोटोकॉल कर्व फाइनेंस ने अपने नेमसर्वर या फ्रंटएंड कर्व.फाई में एक भेद्यता की पुष्टि की है जिसे सफलतापूर्वक वापस कर दिया गया था। इससे पहले, परियोजना के पीछे की टीम ने अपने उपयोगकर्ताओं को सावधानी बरतने की सलाह दी और दावा किया कि किसी भी संभावित कमजोरियों का फायदा उठाने के लिए एक जांच शुरू की गई है।
परियोजना के पीछे की टीम कहा:
समस्या का पता लगा लिया गया है और उसे वापस कर दिया गया है। यदि आपने पिछले कुछ घंटों में कर्व पर किसी अनुबंध को मंजूरी दी है, तो कृपया तुरंत रद्द कर दें। कृपया अभी तक कर्व.एक्सचेंज का उपयोग करें जब तक कि कर्व.फाई का प्रसार सामान्य नहीं हो जाता
परियोजना के पीछे की टीम ने एक संभावित सिद्धांत साझा किया कि उनके अग्रभाग को क्या प्रभावित कर सकता है। एक बुरे अभिनेता ने अपने फ्रंटएंड को "क्लोन" किया हो सकता है, जिससे ऐसा लगता है कि यह कर्व फाइनेंस उत्पाद के समान है, जो इसे एक्सेस करने वाले लोगों को प्रभावित करता है।
परियोजना के पीछे की टीम साझा रोटकिया ऐप के संस्थापक लेफ्टेरिस करापेट्सस से निम्नलिखित सिद्धांत, उनके डोमेन नाम सिस्टम (डीएनएस) को प्रभावित करने वाले हमले के बारे में:
यह डीएनएस स्पूफिंग है। साइट को क्लोन किया, डीएनएस को उनके आईपी पर इंगित किया जहां क्लोन साइट को तैनात किया गया है और एक दुर्भावनापूर्ण अनुबंध के लिए अनुमोदन अनुरोध जोड़ा गया है।
इसलिए, कर्व फाइनेंस के कर्व.फाई फ्रंटएंड तक पहुंचने का प्रयास करने वाले किसी भी व्यक्ति को इससे बचना चाहिए जब तक कि संभावित हमले के पीछे अधिक विवरण न हों। एक अलग ट्वीट में, परियोजना के पीछे की टीम ने कहा कि कर्व.एक्सचेंज फ्रंटएंड अप्रभावित प्रतीत होता है।
किसी भी कर्व फाइनेंस उपयोगकर्ता को निम्नलिखित ETH स्मार्ट अनुबंध पतों के लिए लेनदेन अनुमोदन को रद्द करना चाहिए: 0x9Eb5F8e83359Bb5013f3D8eee60bDCe5654e8881 और पते से लेनदेन के लिए देखें 0x50f9202e0f1c1577822BD67193960B213CD2f331 जिसका उपयोग हमलावर कर सकता है।
कर्व फाइनेंस टोकन हमले के बाद सुधार देखता है
करापेटस के अनुसार, कर्व फाइनेंस, कम से कम, इस डीएनएस अपहरण हमले से प्रभावित होने वाली चौथी परियोजना है। इन हमलों के शिकार अन्य डीआईएफआई परियोजनाओं में रिबन फाइनेंस, डेफी सेवर और कॉनवेक्स फाइनेंस शामिल हैं। डीब्रिज के सह-संस्थापक एलेक्स स्मिरनोव, कहा इस हालिया हमले के बारे में निम्नलिखित:
डीएनएस हमेशा एक कमजोर कड़ी है। यहां बताया गया है कि हम इसे डीब्रिज में कैसे हल करते हैं और मुझे लगता है कि प्रत्येक डेफी परियोजना में यह होना चाहिए। हमारे पास एक स्वचालित निगरानी प्रणाली है जो वेबसाइट और उसकी सभी फाइलों के हैश की जांच करती है। यदि हैश बदल दिया जाता है, तो महत्वपूर्ण निगरानी तुरंत चालू हो जाती है।
कर्व फाइनेंस का दावा है कि यह समस्या एक DNS प्रबंधक iwantmyname से उत्पन्न हो सकती है, लेकिन उन्होंने अभी तक घटना के बारे में अधिक जानकारी नहीं दी है। जैसे ही हमले का खुलासा हुआ, सीआरवी टोकन ने पिछले 10 घंटों में 24% सुधार दर्ज किया।
स्रोत: https://www.newsbtc.com/news/curve-finance-issue-found-and-reverted-crv-sees-10-losses/