Злоумышленникам удалось совершить атаку на проект Curve Finance, не вмешиваясь в работу его смарт-контрактов

Взлом DNS: как хакеры воруют адреса в интернете и крипту

28.05.2025

753

5 мин

За всю историю существования криптовалют было придумано множество преступных схем по их воровству. GetBlock AML Research объясняет, как злоумышленники могут завладеть вашей криптовалютой, не вмешиваясь в работу блокчейна и смарт-контрактов.

Прецедент

12 мая 2025 года пользователи крупной децентрализованной биржи Curve Finance начали попадать на фейковую копию торговой платформы, которая была создана злоумышленниками для похищения криптовалюты. Оказалось, что хакеры провели атаку на систему доменных имен (DNS) и завладели доменным именем Curve (curve.fi).

Оповещение о взломе домена Curve

Манипуляции с DNS-серверами привели к тому, что каждый, кто хотел открыть в браузере биржу Curve Finance, перенаправлялся на вредоносный сайт злоумышленников. Проект уже сталкивался с подобной атакой в 2022 году.

Как это возможно

Система доменных имен (DNS) работает аналогично телефонной книге. Доменное имя (например, getblock.net) присваивается IP-адресу сервера, на котором находится сайт. Система реализована для того, чтобы пользователи могли попадать на сайты в интернете по удобной текстовой ссылке, без запоминания нужного IP-адреса.

В случае с атакой на Curve Finance, хакеры смогли обойти защиту сервиса iwantmyname, который предоставляет услуги по регистрации и управлению доменными именами. Далее они просто заменили закрепленный за доменом IP-адрес на другой, который ведет на вредоносную копию сайта Curve.

Разработчики Curve раскритиковали сервис iwantmyname за медленную реакцию на взлом

Опасность такой атаки заключается в том, что подмену оригинального сайта на вредоносную трудно обнаружить. В момент совершения атаки команда Curve Finance не подозревала о том, что пользователи утратили доступ к подлинной версии сайта. Подмена ресурса произошла в 20:55 UTC, а в 21:20 UTC атака была замечена командой Curve.

Команда Curve подтверждает, что инфраструктура торговой платформы не затронута в результате атаки

Как отреагировали в Curve

  • Команда проекта оповестила пользователей об опасности через все доступные каналы связи (например, в Discord и X);
  • Разработчики Curve обратились к регистратору доменных имен iwantmyname и запросили провести процедуру удаления скомпрометированного домена;
  • После удаления взломанного домена была проведена повторная процедура регистрации нового доменного имени (curve.finance).

Оповещение пользователей о регистрации нового доменного имени

Особенность атаки с подменой DNS заключается в том, что вся инфраструктура проекта остается в безопасности. Смарт-контракты Curve Finance не были затронуты, как и пользовательские средства. За период атаки торговая платформа обработала транзакции на $400 млн.

Защита проекта от DNS-атак

Ситуация с Curve Finance показывает, что многие децентрализованные системы все еще продолжают быть зависимыми от централизованной web2.0-инстраструктуры. Приводим основные способы, которые могут помочь снизить эту зависимость:

  • Иметь несколько доменных имен (зеркал), чтобы усложнить процесс взлома. Даже при компрометации одного доменного имени, пользователи смогут получать доступ к сервису с помощью других доступных адресов;
  • Использовать только проверенные и надежные компании, которые предоставляют услуги регистрации и управления доменными именами;
  • Использование альтернативных доменных зон, например, сервиса Ethereum Name Service (ENS), который позволяет зарегистрировать домен в зоне .eth.

Подписывайтесь на Getblock Magazine и будьте всегда в курсе последних новостей из мира криптовалют и цифровой экономики