Протоколы децентрализованного финансирования (DeFi) по-прежнему становятся мишенью хакеров, а Curve Finance стала последней платформой, скомпрометированной после инцидента с захватом DNS.
Автоматизированный маркет-мейкер предупредил пользователей, чтобы они не использовали интерфейс его веб-сайта 9 августа после того, как инцидент был отмечен в сети рядом членов более широкого криптовалютного сообщества.
Хотя точный механизм атаки все еще исследуется, все согласны с тем, что злоумышленникам удалось клонировать веб-сайт Curve Finance и перенаправить DNS-сервер на поддельную страницу. Средства пользователей, которые пытались использовать платформу, были переведены в пул, управляемый злоумышленниками.
Curve Finance удалось своевременно исправить ситуацию, но злоумышленникам все же удалось перекачать то, что первоначально оценивалось в USD Coin (USDC) на сумму 537 000 долларов США, за время, необходимое для возврата захваченного домена. Платформа считает, что ее поставщик DNS-серверов Iwantmyname был взломан, что позволило развернуться последующим событиям.
обратился к аналитической фирме Elliptic по блокчейну, чтобы проанализировать, как злоумышленникам удалось обмануть ничего не подозревающих пользователей Curve. Команда подтвердила, что хакер взломал DNS Curve, что привело к подписанию вредоносных транзакций.
Связанный: Перекрестные цепи, будьте осторожны: deBridge отмечает попытку фишинговой атаки, подозревает Lazarus Group
По оценкам Elliptic, 605 000 долларов США и 6 500 DAI были украдены до того, как Curve обнаружила и устранила уязвимость. Используя свои инструменты аналитики блокчейна, Elliptic затем отследила украденные средства до ряда различных бирж, кошельков и миксеров.
Украденные средства были немедленно конвертированы в эфир (ETH), чтобы избежать возможного замораживания USDC, в размере 363 ETH на сумму 615 000 долларов США.
Интересно, что 27,7 ETH были отмыты через Tornado Cash, находящийся под санкциями OFAC. 292 ETH были отправлены в службу обмена и обмена монет FixedFloat. По словам представителя Elliptic, платформе удалось заморозить 112 ETH и подтвердить движение средств:
«Мы связались с биржей, которая подтвердила еще три адреса, на которые хакер выводил средства с биржи (это были выполненные заказы, которые FixedFloat не смогла вовремя заморозить). К ним относятся 1 адрес BTC, 1 адрес BSC и 1 адрес LTC».
Теперь Elliptic отслеживает эти помеченные адреса в дополнение к исходным адресам на основе Ethereum. Еще 20 ETH были отправлены на горячий кошелек Binance, а еще 23 ETH — на неизвестный горячий кошелек биржи.
Elliptic также предупредила более широкую экосистему о дальнейших инцидентах такого рода после обнаружения листинга на форуме даркнета, в котором утверждалось, что хакерам взломанных веб-сайтов продаются «поддельные целевые страницы».
Неясно, был ли этот список, который был обнаружен всего за день до инцидента с захватом DNS Curve Finance, напрямую связан, но Elliptic отмечает, что он подчеркивает методологии, используемые в этих типах взломов.
Источник: Сointеlеgrаph