Web 3.0新陷阱：Curve Finance遭攻擊，請不要批準任何交易-ODAILY_Curve:WEB

克隆銀行官網早已不是什么新鮮事，而如今不法之徒已將克隆網站的魔爪伸向了Web3.0領域。

惡意代碼注入克隆網站

北京時間2022年8月10日凌晨4點20左右，CurveFinance(curve.fi)的DNS記錄被入侵，并指向一個惡意網站。這個惡意網站是curve.fi網站的一個克隆版本。

李家超：提供適切監管，釋放Web3潛力:金色財經報道，香港特區行政長官李家超表示，為使香港成為虛擬資產企業最佳立足點，政府需要為市場提供適切監管，釋放Web3及相關技術潛力。將于6月實施的發牌制度為虛擬資產交易平臺提供一定程度的市場認可，確保市場穩健有序發展，保障投資者。[2023/4/11 13:57:02]

然而，在這個克隆版本中，攻擊者注入了惡意代碼，要求用戶對一個未經驗證的合約給予代幣交易批準。如果用戶批準交易，那么該用戶的代幣就會被攻擊者用惡意合約轉走。

Web3游戲平臺Village Studio完成210萬歐元種子輪融資，Animoca Brands領投:5月30日消息，Web3 游戲平臺 Village Studio 宣布完成 210 萬歐元的種子輪融資，Animoca Brands 領投，Venrex、AngelHub、K3、WinZO 以及包括 Jas Purewal（Facepunch 董事長）和 Phil Mansell（Jagex 首席執行官）在內的一批天使投資人參投。

Village Studio 由游戲行業資深人士 Will Luton、Cyril Barrow 和 Tak Fung 創立，他們希望幫助 Web3 游戲提升互操作性并為玩家和開發者提供價值，并在本輪融資支持下擴大團隊規模、開發游戲平臺。（Pocketgamer）[2022/5/31 3:51:24]

目前，大約有77萬美元損失。攻擊者將資金從他們的錢包轉移到其他幾個錢包，并將其中一些換成代幣，發送了部分ETH到TornadoCash。

動態 | 數字貨幣Brave瀏覽器將與web3集成:據ambcrypto報道，數字貨幣Brave瀏覽器首席執行官兼聯合創始人Brendan Eich表示，Brave將與web3集成。[2019/5/22]

惡意交易及地址

惡意合約:0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881

惡意JS文件:https://curve.fi/js/app.ca2e5d81.js

當用戶與Curve(curve.fi)上的任意按鈕互動時，網站會要求用戶對一個未經驗證的合約"0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881"給予代幣交易批準。

惡意curve.fiIP：

真正的curve.fiIP：

資產去向

截至本文章發布時，攻擊者已獲得約77萬美元的利潤。所有被盜資金最初被發送到以下地址，然后又被分發到其他幾個地址。

https://etherscan.io/address/0x50f9202e0f1c1577822bd67193960b213cd2f331.

寫在最后

北京時間2022年8月10日凌晨5點22時，CurveFinance表示他們已經發現了問題，并進行了修復。Curve要求用戶如果在過去幾小時內批準了Curve上的任何合約，請立即撤銷。Curve還要求用戶暫時使用curve.exchange，直到curve.fi恢復正常。

CertiK安全團隊在此提醒大家，在錢包內批準交易前一定要注意看好交易的各項細節，切勿習慣性手快直接點擊確認。

Tags：CurveCURWEBWEB3curve幣的CEO照片curve幣總量web3.0幣種有哪些WEB3Token

USDC