Hacker de Curve Finance usó Tornado Cash para mover su botín

Durante el hackeo, se estima que el atacante pudo robar USD 570.000 del exchange de stablecoins Curve Finance.

Una investigación sugiere que el atacante intentó mover fondos a través de FixedFloat.
FixedFloat logró congelar parte del botín, pero el atacante movió ETH a través de Tornado Cash.

El equipo de Curve Finance, un exchange enfocado en intercambios de stablecoins, logró encontrar y resolver un ataque que se perpetró durante varias horas el día de ayer, como reportamos en CriptoNoticias. Sin embargo, el hacker logró mover fondos a través de distintas plataformas, incluyendo a Tornado Cash.

En el comunicado del equipo de Curve se lee lo siguiente: “Las actualizaciones para curve.fi deberían haberse propagado en todas partes ya, lo que significa que debería ser seguro de usar”.

Sin embargo, el hacker logró sustraer De acuerdo con la información proporcionada por ZachXBT, un investigador anónimo, el hacker robó USD 570.000 de fondos de Curve, utilizando una dirección que tenía un balance de 327 ETH: 0x50f9202e0f1c1577822BD67193960B213CD2f331.

Esta sería la dirección que el atacante utilizó para mover los fondos. Fuente: Twitter.

Luego el atacante intentó mover los fondos a través FixedFloat (un exchange que permite operar sin identificarse) pero la plataforma logró congelar aproximadamente USD 200.000.

: En el momento de redacción de este artículo, la dirección que se utilizó se encuentra prácticamente vacía y con una advertencia de la vinculación con el hackeo a Curve. Fuente: EtherScan.

Parte de los fondos robados luego fueron movidos a través de Tornado Cash, un mezclador de criptomonedas que se utiliza para ocultar la procedencia y el destino de fondos y que durante los últimos días ha estado en el ojo del huracán, luego de que el Departamento del Tesoro de EE. UU. sancionara a la plataforma.

De acuerdo con EtherScan, múltiples transacciones se enrutaron a través de Tornado Cash. Fuente: EtherScan.

¿Cómo fue el hackeo a Curve Finance?

Según el investigador ZachXBT, los usuarios que estaban conectados a Curve a través de MetaMask corrían el riesgo de ser robados.

Steve Ferguson, fundador de TCPShield, una empresa que evita ataques de denegación de servicio (DDoS), también comentó que el ataque “no parece ser un secuestro a nivel de registrador, sino que los sistemas en @iwantmyname se comprometieron”.

Como reportamos ayer, el ataque se descubrió luego de que un investigador de Paradigm advirtiera que el frontend o interfaz del exchange parecía estar comprometido.

Treinta minutos después el equipo de Curve pudo reconocer las características del ataque y emitió un comunicado. Pidieron a las personas que rechazaran la aprobación de cualquier solicitud de contrato ejecutado en ese momento.

El hacker atacó al exchange a través de una suplantación de identidad que llevó a cabo modificando el dominio de la página (DNS). Primero clonó el sitio web y redirigió el punto DNS a su dirección IP. Luego, agregó solicitudes de aprobación a un contrato malicioso para robar los fondos.