Secuestro del router de front-end de MM Finance

El 4 de mayo de 2022, el DEX de Cronos MM Finance perdió aproximadamente $2 millones de sus usuarios cuando un atacante manipuló la dirección del contrato de router usado por el front-end de MM Finance. Los usuarios que intercambiaban a través del sitio aprobaron el gasto de tokens a un "router" controlado por el atacante que drenó los fondos aprobados.

Qué ocurrió

El front-end de MM Finance resolvía la dirección de su router de swaps desde una fuente de configuración que el atacante pudo influir (un endpoint de configuración no reclamado/mal asegurado). Sustituyendo una dirección de router maliciosa, el atacante hizo que el sitio web legítimo de MM Finance presentara a los usuarios transacciones de aprobación apuntando al contrato del atacante. Los usuarios que aprobaron — creyendo que interactuaban con el router real — vieron sus tokens transferidos fuera.

Consecuencias

• MM Finance recuperó el control de la configuración y advirtió a los usuarios que revocaran las aprobaciones.
• No existía bug de contrato de protocolo; los contratos inteligentes no fueron tocados.

Por qué importa

MM Finance es un hermano menor del secuestro DNS de Curve y BadgerDAO — la lección recurrente de que la configuración y la infraestructura que alimenta el front-end de un DEX es parte de la frontera de confianza. Un contrato correcto servido detrás de una configuración comprometida es, desde la perspectiva del usuario, un compromiso total. La defensa — configuración de front-end firmada/inmutable, verificación de calldata con hardware wallet independiente de la UI — es la misma en cualquier escala de esta clase de ataque.