Децентрализованные финансовые протоколы (DeFi) продолжают становиться мишенью хакеров, и последней платформой, подвергшейся взлому после инцидента с перехватом DNS, стала Curve Finance.

Автоматизированный маркет-мейкер предупредил пользователей не использовать фронт-энд своего сайта 9 августа после того, как об инциденте узнали в Интернете несколько членов более широкого криптовалютного сообщества.

Хотя точный механизм атаки еще расследуется, общее мнение таково, что злоумышленникам удалось клонировать сайт Curve Finance и перенаправить DNS-сервер на поддельную страницу. Пользователи, которые пытались воспользоваться платформой, затем сливали свои средства в пул, управляемый злоумышленниками.

Curve Finance удалось своевременно исправить ситуацию, но злоумышленникам все же удалось выманить USD Coin (USDC) на сумму $537 000 за то время, которое потребовалось для возврата захваченного домена. Платформа считает, что ее поставщик DNS-серверов Iwantmyname был взломан, что и позволило развиться последующим событиям.

Cointelegraph связался с аналитической компанией Elliptic, специализирующейся на анализе блокчейна, чтобы выяснить, как злоумышленникам удалось обмануть ничего не подозревающих пользователей Curve. Команда подтвердила, что хакер скомпрометировал DNS Curve, что привело к подписанию вредоносных транзакций.

По оценкам Elliptic, 605 000 USDC и 6 500 DAI были украдены до того, как Curve обнаружила и устранила уязвимость. Используя свои инструменты анализа блокчейна, Elliptic отследила похищенные средства на ряде различных бирж, кошельков и микшеров.

Похищенные средства были немедленно конвертированы в Эфир (ETH), чтобы избежать потенциального замораживания USDC, и составили 363 ETH на сумму $615 000.

Интересно, что 27,7 ETH были отмыты через находящуюся под санкциями OFAC компанию Tornado Cash. 292 ETH были отправлены на биржу FixedFloat и сервис обмена монет. По словам представителя Elliptic, платформе удалось заморозить 112 ETH и подтвердить движение средств:

"Мы связались с биржей, которая подтвердила еще три адреса, на которые хакер вывел средства с биржи (это были завершенные заказы, которые FixedFloat не смогла вовремя заморозить). Среди них 1 BTC-адрес, 1 BSC-адрес и 1 Ltc-адрес".

Elliptic теперь отслеживает эти отмеченные адреса в дополнение к первоначальным адресам на базе Ethereum. Еще 20 ETH были отправлены на горячий кошелек Binance, а еще 23 ETH были переведены на горячий кошелек неизвестной биржи.

Elliptic также предупредила более широкую экосистему о новых инцидентах такого рода после того, как на одном из форумов даркнета было обнаружено объявление о продаже поддельных целевых страниц для хакеров взломанных сайтов.

Неясно, был ли этот листинг, обнаруженный всего за день до инцидента с перехватом DNS Curve Finance, напрямую связан, но Elliptic отметила, что он подчеркивает методологию, используемую при подобных взломах.

Источник