Curve Finance DNS-Hijack
Angreifer hijackten curve.fis DNS via Domain-Registrar, lieferten Wallet-Drainer-Frontend, stahlen ~575K USD von Nutzern – Verträge blieben unangetastet.
- Datum
- Opfer
- Curve Finance
- Chain(s)
- Status
- Teilweise zurückerlangt
Am 9. August 2022 hijackten Angreifer die DNS-Einträge für curve.fi durch Curve Finances Domain-Registrar/Nameserver und lieferten einen bösartigen Klon des Curve-Frontends mit einem Wallet-Drainer aus. Nutzer, die sich verbanden und Transaktionen auf der gespooften Seite genehmigten, verloren etwa 575.000 US-Dollar. Curves Smart Contracts wurden nie berührt — der Angriff war vollständig auf der DNS-/Web-Serving-Schicht.
Was geschah
Curve Finances On-Chain-Verträge sind unter den am stärksten auditierten in DeFi. Nichts davon spielte für diesen Vorfall eine Rolle, weil der Angriff sie nie näher kam.
Der Angreifer kompromittierte die DNS-Konfiguration für die curve.fi-Domain — durch Kompromittierung des Nameserver-/Registrar-Kontos der Domain. Mit Kontrolle über DNS verwiesen sie curve.fi auf einen Server, der eine pixel-identische Kopie des Curve-Frontends hostete, modifiziert, um einen Wallet-Drainer-Vertrag in den Transaktionsfluss einzuschleusen.
Nutzer, die curve.fi während des Hijack-Fensters besuchten:
- Sahen, was als normales, korrektes Curve-Interface erschien (korrekte Domain in der Adressleiste, korrekt aussehende UI).
- Verbanden ihre Wallet und versuchten normale Curve-Operationen.
- Wurden mit bösartigen Approval-/Transfer-Transaktionen konfrontiert, getarnt als legitime Curve-Interaktionen.
- Das Signieren dieser Transaktionen entzog ihre Wallets an den Angreifer.
Gesamt gestohlen: etwa 575K USD, bevor die Community den Hijack erkannte und Curve die DNS-Kontrolle zurückgewann. Ein Teil wurde später von Binance eingefroren, dessen Compliance-Team einen Teil des Wäscheflusses fing.
Folgen
- Curve gewann die Kontrolle über sein DNS zurück und warnte Nutzer über Twitter, Approvals zu widerrufen und die Seite zu meiden, bis geklärt war.
- Binance fror ~450K USD der gestohlenen Mittel während der Wäsche ein und milderte den Verlust teilweise.
- Curve bewegte sich später zu widerstandsfähigerer Frontend-Verteilung (IPFS-gehostetes Interface, ENS-Resolution), um Single-Point-of-Failure-DNS-Risiko zu reduzieren.
Warum es wichtig ist
Der Curve-DNS-Hijack ist eine der saubersten Demonstrationen dafür, dass die Angriffsfläche eines DeFi-Protokolls weit über seine Smart Contracts hinausreicht. Die vollständige Vertrauenskette, von der ein Nutzer abhängt, umfasst:
- Die Smart Contracts (Curves waren perfekt sicher).
- Den Frontend-Code (könnte sicher sein, wurde aber nicht ausgeliefert).
- Das Web-Hosting (könnte sicher sein, aber DNS verwies woanders hin).
- Die DNS-Konfiguration (kompromittiert).
- Das Domain-Registrar-Konto (der tatsächliche Einstiegspunkt).
Eine Kompromittierung jedes Glieds in dieser Kette ist aus Nutzersicht eine vollständige Kompromittierung. Das Muster wiederholt sich im Katalog in eskalierender Skala: Curve DNS (575K USD, 2022) → BadgerDAO Cloudflare API (120 Mio. USD, 2021) → Bybit Safe{Wallet} Supply-Chain (1,46 Mrd. USD, 2025). Dieselbe strukturelle Lektion — die Infrastruktur, die die Vertragsaufrufe ausliefert, ist Teil der Vertrauensgrenze des Protokolls — bei drei Größenordnungen Unterschied im Verlust.
Die defensiven Antworten — Registrar-Lock/DNSSEC, IPFS+ENS-Frontend-Verteilung, Hardware-Wallet-Calldata-Verifikation unabhängig von der UI — wurden alle branchenweit nach diesem und den größeren Vorfällen derselben Linie wiederholt.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-curve-finance-dns-hijack-august-2022
- [02]screenrant.comhttps://screenrant.com/stablecoin-exchange-curve-finance-dns-redirect-attack/
- [03]rekt.newshttps://rekt.news/curve-finance-rekt