Compass Investments

— Децентрализованные финансовые протоколы продолжают становиться мишенью для хакеров, а Curve Finance стала последней платформой, которая была взломана после инцидента с перехватом системы доменных имен (DNS)..

Автоматизированный маркет-мейкер предупредил пользователей не пользоваться фронт-эндом своего сайта во вторник после того, как об инциденте узнали в Интернете несколько членов криптовалютного сообщества.

Хотя точный механизм атаки все еще расследуется, общее мнение таково, что злоумышленникам удалось клонировать сайт Curve Finance и перенаправить DNS-сервер на поддельную страницу. Пользователи, которые пытались воспользоваться платформой, затем сливали свои средства в пул, управляемый злоумышленниками.

Curve Finance удалось своевременно исправить ситуацию, но злоумышленникам все же удалось выкачать первоначально оцененные в 537 000 долларов США монеты USD Coin (USDC) за то время, которое потребовалось для возврата захваченного домена. Платформа считает, что ее поставщик DNS-серверов Iwantmyname был взломан, что позволило развернуться последующим событиям.

Cointelegraph связался с аналитической компанией Elliptic, занимающейся анализом блокчейна, чтобы выяснить, как злоумышленникам удалось обмануть ничего не подозревающих пользователей Curve. Команда подтвердила, что хакер скомпрометировал DNS Curve, что привело к подписанию вредоносных транзакций.

По оценкам Elliptic, было украдено 605 000 USDC и 6 500 Dai, прежде чем Curve обнаружила и устранила уязвимость. Используя свои инструменты анализа блокчейна, Elliptic отследила похищенные средства до ряда различных бирж, кошельков и микшеров.

Похищенные средства были немедленно конвертированы в Эфир (ETH), чтобы избежать потенциального замораживания USDC, и составили 363 ETH на сумму $615 000.

Интересно, что 27,7 ETH были отмыты через Tornado Cash, санкционированную Управлением по контролю за иностранными активами США. 292 ETH были отправлены на биржу FixedFloat и сервис обмена монет. Платформа смогла заморозить 112 ETH и подтвердила движение средств, по словам представителя Elliptic:
“Мы связались с биржей, которая подтвердила еще три адреса, на которые хакер вывел средства с биржи (это были завершенные заказы, которые FixedFloat не смогла вовремя заморозить). Среди них 1 адрес BTC, 1 адрес BSC и 1 адрес LTC.”

Elliptic сейчас отслеживает эти отмеченные адреса в дополнение к первоначальным адресам на базе Ethereum. Еще 20 ETH были отправлены на горячий кошелек Binance, а еще 23 ETH были переведены на горячий кошелек неизвестной биржи.

Компания Elliptic также предупредила широкую экосистему о дальнейших инцидентах такого рода, обнаружив на одном из форумов даркнета объявление о продаже “поддельных целевых страниц” для хакеров взломанных веб-сайтов.