Эксплуатация Curve Finance: Эксперты разбирают, что пошло не так
Децентрализованные финансовые протоколы продолжают становиться мишенью хакеров, а Curve Finance стала последней платформой, подвергшейся взлому после инцидента с перехватом системы доменных имен (DNS).
Во вторник автоматический маркет-мейкер предупредил пользователей не пользоваться фронт-эндом своего сайта после того, как ряд членов криптовалютного сообщества отметили инцидент в Интернете.
Хотя точный механизм атаки все еще расследуется, общее мнение таково, что злоумышленникам удалось клонировать сайт Curve Finance и перенаправить DNS-сервер на поддельную страницу. Пользователи, пытавшиеся воспользоваться платформой, сливали свои средства в пул, управляемый злоумышленниками.
Curve Finance удалось своевременно исправить ситуацию, но злоумышленникам все равно удалось выкачать USD Coin (USDC) на сумму $537 000 за то время, которое потребовалось для возврата захваченного домена. Платформа считает, что ее DNS-сервер Iwantmyname был взломан, что и позволило развернуться последующим событиям.
Cointelegraph связался с аналитической компанией Elliptic, занимающейся анализом блокчейна, чтобы выяснить, как злоумышленникам удалось обмануть ничего не подозревающих пользователей Curve. Команда подтвердила, что хакер скомпрометировал DNS Curve, что привело к подписанию вредоносных транзакций.
По оценкам Elliptic, было похищено 605 000 USDC и 6 500 Dai, прежде чем Curve обнаружила и устранила уязвимость. Используя свои инструменты анализа блокчейна, Elliptic отследил похищенные средства на ряде различных бирж, кошельков и микшеров.
Украденные средства были немедленно конвертированы в Эфир (ETH), чтобы избежать потенциального замораживания USDC, и составили 363 ETH на сумму $615 000.
Интересно, что 27,7 ETH были отмыты через Tornado Cash, теперь находящуюся под санкциями Управления по контролю за иностранными активами США. 292 ETH были отправлены на биржу FixedFloat и сервис обмена монет. По словам представителя Elliptic, платформе удалось заморозить 112 ETH и подтвердить движение средств:
«Мы связались с биржей, которая подтвердила еще три адреса, на которые хакер вывел средства с биржи (это были завершенные заказы, которые FixedFloat не смогла вовремя заморозить). Среди них 1 BTC-адрес, 1 BSC-адрес и 1 LTC-адрес».
Сейчас Elliptic отслеживает эти отмеченные адреса в дополнение к первоначальным адресам на базе Ethereum. Еще 20 ETH были отправлены на горячий кошелек Binance, а еще 23 ETH были переведены на горячий кошелек неизвестной биржи.
Elliptic также предупредила широкую экосистему о новых инцидентах такого рода после того, как обнаружила на одном из форумов даркнета объявление о продаже «поддельных целевых страниц» для хакеров взломанных веб-сайтов.
Неясно, имеет ли это объявление, обнаруженное всего за день до инцидента с захватом DNS Curve Finance, непосредственное отношение к делу, но Elliptic отметила, что оно подчеркивает методологию, используемую в подобных взломах.