Протоколы децентрализованного финансирования (DeFi) по-прежнему становятся мишенью хакеров, а Curve Finance стала последней платформой, скомпрометированной после инцидента с захватом DNS.
Автоматизированный маркет-мейкер предупредил пользователей, чтобы они не использовали интерфейс его веб-сайта 09 августа после того, как инцидент был отмечен в сети рядом членов более широкого криптовалютного сообщества.
Хотя точный механизм атаки все еще исследуется, все согласны с тем, что злоумышленникам удалось клонировать веб-сайт Curve Finance и перенаправить DNS-сервер на поддельную страницу. Средства пользователей, которые пытались использовать платформу, были переведены в пул, управляемый злоумышленниками.
Curve Finance удалось своевременно исправить ситуацию, но злоумышленникам все же удалось украсть то, что первоначально оценивалось на сумму $537 000, за время, необходимое для возврата захваченного домена. Платформа считает, что ее поставщик DNS-серверов Iwantmyname был взломан, что позволило развернуться последующим событиям.
Аналитической блокчейн-компания Elliptic выяснили как злоумышленникам удалось обмануть ничего не подозревающих пользователей Curve. Команда подтвердила, что хакер взломал DNS Curve, что привело к подписанию вредоносных транзакций.
По оценкам Elliptic, 605 000 USDC и 6 500 DAI были украдены до того, как Curve обнаружила и устранила уязвимость. Используя свои инструменты аналитики блокчейна, Elliptic затем отследила украденные средства до ряда различных бирж, кошельков и миксеров.
Украденные средства были немедленно конвертированы в ETH, чтобы избежать возможного замораживания USDC, в размере 363 ETH.
Интересно, что 27,7 ETH были отмыты через Tornado Cash, находящийся под санкциями OFAC. 292 ETH были отправлены в службу обмена монет FixedFloat. По словам представителя Elliptic, платформе удалось заморозить 112 ETH и подтвердить движение средств:
«Мы связались с биржей, которая подтвердила еще три адреса, на которые хакер выводил средства с биржи (это были выполненные заказы, которые FixedFloat не смогла вовремя заморозить). К ним относятся 1 адрес BTC, 1 адрес BSC и 1 адрес LTC».
Теперь Elliptic отслеживает эти помеченные адреса в дополнение к исходным адресам на основе Ethereum. Еще 20 ETH были отправлены на горячий кошелек Binance, а еще 23 ETH — на неизвестный горячий кошелек биржи.
Читайте также: