Web 3.0新陷阱：Curve Finance遭攻击，请不要批准任何交易-ODAILY

克隆银行官网早已不是什么新鲜事，而如今不法之徒已将克隆网站的魔爪伸向了Web3.0领域。

恶意代码注入克隆网站

北京时间2022年8月10日凌晨4点20左右，CurveFinance(curve.fi)的DNS记录被入侵，并指向一个恶意网站。这个恶意网站是curve.fi网站的一个克隆版本。

Web3Auth启动Sign-in With StarkWare，允许用户用其StarkWare账户登陆Web2应用:5月24日消息，钱包身份验证基础设施Web3Auth宣布正式启动Sign-in With StarkWare，旨在为Web2带来链上身份验证的无需信任的安全性。通过该功能，Web2应用现在可以实现用户使用StarkWare身份作为身份验证机制进行登录。[2022/5/24 3:38:25]

然而，在这个克隆版本中，攻击者注入了恶意代码，要求用户对一个未经验证的合约给予代币交易批准。如果用户批准交易，那么该用户的代币就会被攻击者用恶意合约转走。

Web3基金会公布第13批Grant项目名单，Dora Factory等31个项目入围:4月11日消息，Web3基金会今日在官方博客公布第13批Grant项目名单，其中包括Dora Factory、SaaS3 Lab、NUTS Finance、Hamster、Asylum、Setheum、Helixstreet、Fennel Labs等31个项目。（Medium）[2022/4/11 14:18:26]

目前，大约有77万美元损失。攻击者将资金从他们的钱包转移到其他几个钱包，并将其中一些换成代币，发送了部分ETH到TornadoCash。

Web3及加密通信协议XMTP完成2000万美元A轮融资，a16z领投，Coinbase Ventures等参投:9月1日，Web3及加密通信协议XMTP宣布完成2000万美元A轮融资，a16z领投，Coinbase Ventures、Not Boring Capial、SK Ventures、Offline Ventures、StarkWare、Anthony Pompliano、Anthony Sassano (The Daily Gwei)、Kain Warwick (Synthetix)、Kayvon Beykpour (Twitter)、Stani Kulechov (Aave)、Robert Leshner (Compound Labs)、Roham Gharegozlou (Dapper Labs)、Ryan Sean Adams (Bankless)、Ryan Selkis (Messari) 等基金与天使投资人参投。

据悉，这笔资金将用于扩充 XMTP 团队规模，并将帮助 XMTP 通过其独立协议和去中心化网络实现加密钱包间的通信。[2021/9/1 22:51:44]

恶意交易及地址

恶意合约:0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881

恶意JS文件:https://curve.fi/js/app.ca2e5d81.js

当用户与Curve(curve.fi)上的任意按钮互动时，网站会要求用户对一个未经验证的合约"0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881"给予代币交易批准。

恶意curve.fiIP：

真正的curve.fiIP：

资产去向

截至本文章发布时，攻击者已获得约77万美元的利润。所有被盗资金最初被发送到以下地址，然后又被分发到其他几个地址。

https://etherscan.io/address/0x50f9202e0f1c1577822bd67193960b213cd2f331.

写在最后

北京时间2022年8月10日凌晨5点22时，CurveFinance表示他们已经发现了问题，并进行了修复。Curve要求用户如果在过去几小时内批准了Curve上的任何合约，请立即撤销。Curve还要求用户暂时使用curve.exchange，直到curve.fi恢复正常。

CertiK安全团队在此提醒大家，在钱包内批准交易前一定要注意看好交易的各项细节，切勿习惯性手快直接点击确认。

标签：CurveCURWEBWEB3YCURVESecuryptoweb3游戏是什么意思web3.0币种在中国合法吗

世界币热门资讯