Détournement DNS de Curve Finance

Le 9 août 2022, des attaquants ont détourné les enregistrements DNS pour curve.fi via le registraire de domaine/nameserver de Curve Finance, et servi un clone malveillant du frontend de Curve contenant un wallet drainer. Les utilisateurs qui se sont connectés et ont approuvé des transactions sur le site usurpé ont perdu environ 575 000 dollars. Les smart contracts de Curve n'ont jamais été touchés — l'attaque était entièrement à la couche DNS / serving web.

Ce qui s'est passé

Les contrats on-chain de Curve Finance sont parmi les plus lourdement audités en DeFi. Rien de tout cela n'a compté pour cet incident, parce que l'attaque ne s'est jamais approchée d'eux.

L'attaquant a compromis la configuration DNS pour le domaine curve.fi — en compromettant le compte nameserver/registraire du domaine. Avec le contrôle du DNS, ils ont pointé curve.fi vers un serveur hébergeant une copie pixel-identique du frontend Curve, modifiée pour injecter un contrat wallet drainer dans le flux de transaction.

Les utilisateurs qui ont visité curve.fi pendant la fenêtre de détournement :

1. Ont vu ce qui semblait être l'interface Curve normale et correcte (domaine correct dans la barre d'adresse, UI semblant correcte).
2. Ont connecté leur wallet et tenté des opérations Curve normales.
3. Se sont vu présenter des transactions d'approbation/transfert malveillantes déguisées en interactions Curve légitimes.
4. Signer ces transactions drainait leurs wallets vers l'attaquant.

Total volé : environ 575 K$ avant que la communauté ne détecte le détournement et que Curve ne reprenne le contrôle DNS. Une portion a été plus tard gelée par Binance, dont l'équipe de conformité a attrapé une partie du flux de blanchiment.

Conséquences

• Curve a repris le contrôle de son DNS et averti les utilisateurs via Twitter de révoquer les approbations et éviter le site jusqu'à ce qu'il soit nettoyé.
• Binance a gelé ~450 K$ des fonds volés pendant le blanchiment, atténuant partiellement la perte.
• Curve s'est plus tard déplacé vers une distribution de frontend plus résiliente (interface hébergée sur IPFS, résolution ENS) pour réduire le risque DNS de point unique de défaillance.

Pourquoi c'est important

Le détournement DNS de Curve est l'une des démonstrations les plus claires que la surface d'attaque d'un protocole DeFi s'étend bien au-delà de ses smart contracts. La chaîne de confiance complète dont dépend un utilisateur inclut :

• Les smart contracts (ceux de Curve étaient parfaitement sûrs).
• Le code frontend (pourrait être sûr, mais n'était pas servi).
• L'hébergement web (pourrait être sûr, mais le DNS pointait ailleurs).
• La configuration DNS (compromise).
• Le compte du registraire de domaine (le point d'entrée réel).

Une compromission de n'importe quel maillon dans cette chaîne est une compromission complète du point de vue de l'utilisateur. Le schéma récidive à travers le catalogue à une échelle croissante : DNS Curve (575 K$, 2022) → BadgerDAO API Cloudflare (120 M$, 2021) → Bybit supply chain Safe{Wallet} (1,46 Md$, 2025). Même leçon structurelle — l'infrastructure servant les appels de contrat fait partie de la frontière de confiance du protocole — à trois ordres de grandeur de différence en perte.

Les réponses défensives — verrouillage de registraire / DNSSEC, distribution de frontend IPFS+ENS, vérification de calldata par hardware wallet indépendamment de l'UI — ont toutes été réitérées à l'échelle de l'industrie après celui-ci et les incidents plus grands dans la même lignée.