DeFi protokolü Curve Finance, 13 Mayıs’ta yaptığı açıklamada web sitesinin DNS (alan adı sistemi) katmanında bir saldırıya uğradığını doğruladı. Protokol, saldırganların kullanıcıları sahte bir siteye yönlendirdiğini ancak akıllı kontratların etkilenmediğini ve kullanıcı fonlarının güvende olduğunu bildirdi. Saldırının ardından yapılan açıklamada ise şu ifadeler yer aldı:
“Kullanıcı fonları güvende. Curve’un akıllı kontratları güvenliğini koruyor.”
Saldırının yalnızca DNS katmanını etkilediği protokolün zincir üzerindeki altyapısında herhangi bir açık oluşmadığı vurgulandı.
Curve ekibi, saldırganların alan adı sistemine müdahale ederek curve.fi alan adını kendi kontrol ettikleri IP adresine yönlendirdiklerini belirtti. Böylece kullanıcılar, Curve’un orijinal arayüzünü taklit eden sahte bir siteye yönlendirildi ve bu sahte sitede cüzdanlarını bağlamaları veya onay vermeleri istenerek token transferleri hedeflendi.
Blok zincir güvenlik firması Cyvers’ın CTO’su Meir Dolev, saldırının doğrudan protokolü değil kullanıcı etkileşimini sömüren bir tür sosyal mühendislik olduğunu belirtti:
“Bu tür DNS saldırıları, kullanıcı ile uygulama arayüzü arasındaki güven katmanını hedef alır.”
Curve, olayın ardından domain sağlayıcısı ve güvenlik ortaklarıyla iletişime geçtiğini, saldırının izole edildiğini ve detaylı bir soruşturma başlattığını açıkladı. Ayrıca, “Uzun süredir devrede olan güvenlik önlemlerimiz sayesinde saldırının daha büyük bir zarara yol açması önlendi.” açıklaması geldi.
Protokol, kullanıcıların sadece doğrulanmış akıllı kontrat adresleriyle etkileşimde bulunması durumunda herhangi bir fon kaybı yaşamayacağını vurguladı.
Curve DNS tabanlı bir saldırıyı daha önce de yaşamıştı. 2022 yılında yaşanan benzer bir saldırıda yaklaşık 570 bin dolar değerinde kayıp yaşanmıştı. O dönem kullanıcılar, potansiyel kötü niyetli onayları geri çekmeleri konusunda uyarılmış ve gelecekte benzer sorunların önüne geçmek için Ethereum Name Service (ENS) altyapısına geçiş önerilmişti. 2023 yılında ise Vyper programlama dilinin bazı versiyonlarıyla ilgili açıklar nedeniyle Curve’un CRV/ETH havuzu etkilenmiş ve o saldırıdan toplam 24 milyon dolarlık zarar oluşmuştu.
