Détournement du routeur frontend MM Finance

Le 4 mai 2022, le DEX Cronos MM Finance a perdu environ 2 millions de dollars de ses utilisateurs lorsqu'un attaquant a manipulé l'adresse du contrat routeur utilisée par le frontend MM Finance. Les utilisateurs qui ont échangé via le site ont approuvé la dépense de jetons à un « routeur » contrôlé par l'attaquant qui a drainé les fonds approuvés.

Ce qui s'est passé

Le frontend de MM Finance résolvait son adresse de routeur de swap à partir d'une source de configuration que l'attaquant a pu influencer (un point de terminaison de configuration non réclamé/mal sécurisé). En substituant une adresse de routeur malveillante, l'attaquant a fait en sorte que le site web légitime de MM Finance présente aux utilisateurs des transactions d'approbation pointant vers le contrat de l'attaquant. Les utilisateurs qui ont approuvé — pensant interagir avec le vrai routeur — se sont vu transférer leurs jetons.

Conséquences

• MM Finance a repris le contrôle de la configuration et a averti les utilisateurs de révoquer les approbations.
• Aucun bug de contrat de protocole n'existait ; les contrats intelligents étaient intacts.

Pourquoi c'est important

MM Finance est un petit frère du détournement DNS de Curve et de BadgerDAO — la leçon récurrente selon laquelle la configuration et l'infrastructure alimentant un frontend DEX font partie de la frontière de confiance. Un contrat correct servi derrière une configuration compromise est, du point de vue de l'utilisateur, une compromission totale. La défense — config frontend signée/immuable, vérification du calldata par hardware wallet indépendamment de l'UI — est la même à toutes les échelles de cette classe d'attaque.