Hijack de DNS de Curve Finance

El 9 de agosto de 2022, los atacantes hijackearon los registros DNS de curve.fi a través del registrador/nameserver de dominios de Curve Finance, y sirvieron un clon malicioso del frontend de Curve que contenía un wallet drainer. Los usuarios que se conectaron y aprobaron transacciones en el sitio falso perdieron aproximadamente 575.000 dólares. Los contratos inteligentes de Curve nunca fueron tocados — el ataque fue enteramente en la capa DNS / de servicio web.

Qué ocurrió

Los contratos on-chain de Curve Finance están entre los más auditados de DeFi. Nada de eso importó para este incidente, porque el ataque nunca se acercó a ellos.

El atacante comprometió la configuración DNS del dominio curve.fi — comprometiendo la cuenta de nameserver / registrador del dominio. Con control del DNS, apuntaron curve.fi a un servidor que alojaba una copia píxel-idéntica del frontend de Curve, modificada para inyectar un contrato wallet-drainer en el flujo de transacciones.

Los usuarios que visitaron curve.fi durante la ventana del hijack:

1. Vieron lo que parecía ser la interfaz normal y correcta de Curve (dominio correcto en la barra de direcciones, UI de aspecto correcto).
2. Conectaron su wallet e intentaron operaciones normales de Curve.
3. Se les presentaron transacciones maliciosas de approval/transfer disfrazadas como interacciones legítimas de Curve.
4. Firmar esas transacciones drenaba sus wallets al atacante.

Total robado: aproximadamente $575K antes de que la comunidad detectara el hijack y Curve recuperara el control del DNS. Una porción fue posteriormente congelada por Binance, cuyo equipo de compliance atrapó parte del flujo de blanqueo.

Consecuencias

• Curve recuperó el control de su DNS y advirtió a los usuarios vía Twitter que revocaran aprobaciones y evitaran el sitio hasta que se aclarara.
• Binance congeló ~$450K de los fondos robados durante el blanqueo, mitigando parcialmente la pérdida.
• Curve luego se movió hacia una distribución de frontend más resiliente (interfaz hospedada en IPFS, resolución ENS) para reducir el riesgo de DNS de un único punto de fallo.

Por qué importa

El hijack DNS de Curve es una de las demostraciones más claras de que la superficie de ataque de un protocolo DeFi se extiende mucho más allá de sus contratos inteligentes. La cadena de confianza completa de la que depende un usuario incluye:

• Los contratos inteligentes (los de Curve eran perfectamente seguros).
• El código del frontend (podría ser seguro, pero no se estaba sirviendo).
• El web hosting (podría ser seguro, pero el DNS apuntaba a otro lugar).
• La configuración DNS (comprometida).
• La cuenta del registrador de dominios (el punto de entrada real).

Un compromiso de cualquier eslabón en esa cadena es un compromiso completo desde la perspectiva del usuario. El patrón se repite a lo largo del catálogo a escala creciente: DNS de Curve ($575K, 2022) → API de Cloudflare de BadgerDAO ($120M, 2021) → cadena de suministro de Safe{Wallet} de Bybit ($1,46B, 2025). Misma lección estructural — la infraestructura que sirve las llamadas al contrato es parte de la frontera de confianza del protocolo — con tres órdenes de magnitud de diferencia en pérdidas.

Las respuestas defensivas — registrar-lock / DNSSEC, distribución de frontend con IPFS+ENS, verificación de calldata en hardware wallet independiente de la UI — fueron todas reiteradas en toda la industria tras este y los mayores incidentes en el mismo linaje.