MM Finance Frontend-Router-Hijack

Am 4. Mai 2022 verlor der Cronos-DEX MM Finance etwa 2 Millionen $ von seinen Nutzern, als ein Angreifer die vom MM-Finance-Frontend verwendete Router-Vertragsadresse manipulierte. Nutzer, die über die Website swappten, genehmigten Token-Ausgaben an einen angreiferkontrollierten "Router", der die genehmigten Mittel abzog.

Was geschah

Das Frontend von MM Finance löste seine Swap-Router-Adresse aus einer Konfigurationsquelle auf, die der Angreifer beeinflussen konnte (ein nicht beanspruchter/schlecht gesicherter Config-Endpunkt). Durch Ersetzen einer bösartigen Router-Adresse veranlasste der Angreifer die legitime MM-Finance-Website dazu, Nutzern Genehmigungstransaktionen zu präsentieren, die auf den Vertrag des Angreifers zeigten. Nutzer, die genehmigten — im Glauben, mit dem echten Router zu interagieren — bekamen ihre Tokens abgezogen.

Folgen

• MM Finance erlangte die Kontrolle über die Konfiguration zurück und warnte Nutzer, Genehmigungen zu widerrufen.
• Kein Protokoll-Vertrags-Bug existierte; die Smart Contracts wurden nicht angerührt.

Warum es wichtig ist

MM Finance ist ein kleineres Geschwister des Curve DNS Hijack und BadgerDAO — die wiederkehrende Lektion, dass die Konfiguration und Infrastruktur, die ein DEX-Frontend speist, Teil der Vertrauensgrenze ist. Ein korrekter Vertrag, der hinter einer kompromittierten Config serviert wird, ist aus Nutzersicht ein vollständiger Kompromiss. Die Verteidigung — signierte/unveränderliche Frontend-Konfig, Hardware-Wallet-Calldata-Verifikation unabhängig von der UI — ist auf jeder Skala dieser Angriffsklasse dieselbe.