Взлом DNS: как хакеры воруют адреса в интернете и крипту
Злоумышленникам удалось совершить атаку на проект Curve Finance, не вмешиваясь в работу его смарт-контрактов
28.05.2025
753
5 мин
0
За всю историю существования криптовалют было придумано множество преступных схем по их воровству. GetBlock AML Research объясняет, как злоумышленники могут завладеть вашей криптовалютой, не вмешиваясь в работу блокчейна и смарт-контрактов.
Прецедент
12 мая 2025 года пользователи крупной децентрализованной биржи Curve Finance начали попадать на фейковую копию торговой платформы, которая была создана злоумышленниками для похищения криптовалюты. Оказалось, что хакеры провели атаку на систему доменных имен (DNS) и завладели доменным именем Curve (curve.fi).

Оповещение о взломе домена Curve
Манипуляции с DNS-серверами привели к тому, что каждый, кто хотел открыть в браузере биржу Curve Finance, перенаправлялся на вредоносный сайт злоумышленников. Проект уже сталкивался с подобной атакой в 2022 году.
Как это возможно
Система доменных имен (DNS) работает аналогично телефонной книге. Доменное имя (например, getblock.net) присваивается IP-адресу сервера, на котором находится сайт. Система реализована для того, чтобы пользователи могли попадать на сайты в интернете по удобной текстовой ссылке, без запоминания нужного IP-адреса.
В случае с атакой на Curve Finance, хакеры смогли обойти защиту сервиса iwantmyname, который предоставляет услуги по регистрации и управлению доменными именами. Далее они просто заменили закрепленный за доменом IP-адрес на другой, который ведет на вредоносную копию сайта Curve.

Разработчики Curve раскритиковали сервис iwantmyname за медленную реакцию на взлом
Опасность такой атаки заключается в том, что подмену оригинального сайта на вредоносную трудно обнаружить. В момент совершения атаки команда Curve Finance не подозревала о том, что пользователи утратили доступ к подлинной версии сайта. Подмена ресурса произошла в 20:55 UTC, а в 21:20 UTC атака была замечена командой Curve.

Команда Curve подтверждает, что инфраструктура торговой платформы не затронута в результате атаки
Как отреагировали в Curve
- Команда проекта оповестила пользователей об опасности через все доступные каналы связи (например, в Discord и X);
- Разработчики Curve обратились к регистратору доменных имен iwantmyname и запросили провести процедуру удаления скомпрометированного домена;
- После удаления взломанного домена была проведена повторная процедура регистрации нового доменного имени (curve.finance).

Оповещение пользователей о регистрации нового доменного имени
Особенность атаки с подменой DNS заключается в том, что вся инфраструктура проекта остается в безопасности. Смарт-контракты Curve Finance не были затронуты, как и пользовательские средства. За период атаки торговая платформа обработала транзакции на $400 млн.
Защита проекта от DNS-атак
Ситуация с Curve Finance показывает, что многие децентрализованные системы все еще продолжают быть зависимыми от централизованной web2.0-инстраструктуры. Приводим основные способы, которые могут помочь снизить эту зависимость:
- Иметь несколько доменных имен (зеркал), чтобы усложнить процесс взлома. Даже при компрометации одного доменного имени, пользователи смогут получать доступ к сервису с помощью других доступных адресов;
- Использовать только проверенные и надежные компании, которые предоставляют услуги регистрации и управления доменными именами;
- Использование альтернативных доменных зон, например, сервиса Ethereum Name Service (ENS), который позволяет зарегистрировать домен в зоне .eth.
Полезный материал?
Расследования
Один и тот же криптовалютный адрес получил две полностью противоположные оценки от разных аналитических систем: от обычного сервиса азартных игр до крайне тяжкого уголовного преступления. Эта история стала поводом для обсуждения того, какими должны быть научные стандарты анализа блокчейна и почему ошибки в подобных системах способны повлиять на судьбы людей
1 июл. 2026 г.
Расследования
Блокчейн помог выявить связи между криптовалютными сборами средств, обменниками в Сирии и посредниками в нескольких странах мира. Обнаружена характерная схема, при которой одни и те же адреса использовались сразу в нескольких кампаниях по сбору пожертвований
24 июн. 2026 г.
Расследования
Четыре иранские криптовалютные биржи обеспечивали около 78% всего объема цифровых активов, связанных со страной в 2025 году. Теперь они оказались в центре крупнейшей санкционной кампании США против криптовалютной инфраструктуры Ирана.
5 июн. 2026 г.
Расследования
На публичных блокчейнах уже работает финансовая система с кредитами, аналогами облигаций США и автоматическими рынками капитала. Через DeFi-протоколы прошло более $551 млрд, но большая часть этой активности связана не с экономикой, а со спекулятивным наращиванием рисков
29 мая 2026 г.
Расследования
Около 97% китайских поставщиков химических веществ для производства фентанила принимают оплату в криптовалюте. Объем таких операций продолжает расти вместе с глобальным рынком синтетических наркотиков
22 мая 2026 г.
Расследования
Новый закон впервые делает блокчейн-аналитику официальным обязательным инструментом финансового контроля в США. Власти также получат право ограничивать операции с иностранными криптосервисами, связанными с рисками отмывания денег
20 мая 2026 г.