2022年8月10日,去中心化稳定币交易协议CurveFinance突遭DNS劫持攻击,本次事件中共有价值约61.3万美元的稳定币被盗取,被盗资金被攻击者兑换成ETH并分批进行转移。Curve随即发出警告,提醒用户暂时不要使用Curve.fi域名,并立即解除合约授权。
SAFEIS第一时间对该事件进行追踪分析。
一、CurveFinance简介
CurveFinance是一个基于以太坊的去中心化稳定币交易协议,该平台主要为实现高效的稳定币交易,Curve可以让用户以极其低的滑点和手续费实现稳定币交易,它的算法专门为稳定币设计并以此盈利,目前Curve已经支持多条公链。
加密分析师:Curve创始人或正以0.4美元均价进行CRV场外交易:8月1日消息,加密分析师dollar.eth在社交媒体发文表示,Curve Finance创始人Michael Egorov到目前为止已从Fraxlend还款并取回了750万枚CRV,并将其发送到一个新的EOA钱包地址,然后从未知地址中接收USDT,因此可能是一笔场外交易,按照250万枚CRV/100万USDT计算,场外价格应该是0.4美元。[2023/8/1 16:11:14]
Curve创始人MichaleEgorov于2019年11月发布了白皮书,并最终在2020年2月10日将该协议重新命名为CurveFinance。
Gauntlett建议Aave社区冻结Curve创始人钱包中的CRV抵押品:6月15日消息,DeFi风险管理器Gauntlett向Aave治理社区建议,冻结Curve Finance创始人Michael Egorov钱包地址贷款头寸中的CRV代币。
Gauntlet表示,它检查了有关钱包的风险状况,该钱包严重依赖CRV代币作为抵押品。该账户据与Curve Finance创始人Michael Egorov有关,根据链上数据,该账户将2.88亿个CRV代币(约1.8亿美元)作为抵押品,借入了约6300万美元的USDT。需要注意的是,2.88亿CRV代币占其流通总量的30%以上,为了防止这些代币在交易所的流动性下降而产生坏账,建议冻结。
目前该账户健康系数为1.6,表明没有立即出现坏账风险,但Gauntlet暗示未来可能存在潜在风险。它强调,如果该账户继续使用CRV作为抵押品,未来可能会带来风险,特别是考虑到最近CRV流动性的减少。[2023/6/15 21:37:14]
西甲皇家贝蒂斯将在Fancurve平台推出元宇宙数字球衣:6月1日消息,西甲皇家贝蒂斯俱乐部宣布与元宇宙服装初创公司Fancurve签署了一项为期三年的合作协议,后者将为该俱乐部打造元宇宙数字球衣。粉丝们将能够在Fancurve平台上穿着由Fancurve的3D时装设计师制作的官方授权贝蒂斯主题球衣来打扮自己的Avatar化身。
据悉,首款皇家贝蒂斯球衣将于6月7日发售,售价为43美元。持有数字球衣的用户将有机会获得皇家贝蒂斯的独家俱乐部福利。[2022/6/1 3:56:09]
Curve
二、攻击事件详情
数据:Curve锁仓量重回100亿美元:Curve的锁仓量重回100亿美元,成为近两个月市场调整之后第一个锁仓量回到100亿美元的DeFi项目。Aave、MakerDAO、Compound等此前锁仓量超过100亿美元的项目在市场调整期间锁仓量大幅滑落,目前仍旧低于100亿美元。(defillama)[2021/7/7 0:32:49]
攻击者攻击CurveFinance的Curve.fi域名服务器并重定向到克隆的恶意站点,两个站点的服务器IP分别为5.199.174.238和87.120.37.46。
在克隆的站点上,攻击者注入了恶意代码,要求用户对未经验证的合约给予令牌批准。如果用户批准了该交易,那么用户的资金就会被攻击者使用这个恶意合约引导到黑客地址
攻击者共盗取了价值约61.3万美元的稳定币,币种主要为USDC和DAI。
重定向
攻击者随即将所有稳定币兑换成362枚ETH。
尔后,攻击者分批将这些ETH发送到以下位置:
TornadoCash:27.7ETH
FixedFloat:292ETH
Binance:20ETH
0xcDd3和0x4547开头地址:23.1ETH
随后,中心化交易所FixedFloat和Binance表示已冻结转入其平台的Curve被盗资金,截止发稿,已有45万美元的被盗资金被追回,占总被盗资金的83%。
结论
攻击者入侵CurveFinance的DNS进行攻击,正是利用Web2漏洞对Web3用户进行攻击的一个示例。
此外,还值得注意的是,在之前的黑客攻击事件中,攻击者通常会把大部分甚至全部被盗资金存入TornadoCash进行,这大幅提高了安全监管和资金查控工作的难度,也极大地助长了非法活动,包括为黑客攻击、恶意、网、以及勒索犯罪行为提供便利。
但近日美国财政部海外资产控制办公室将TornadoCash纳入制裁名单,禁止所有美国公民和实体与TornadoCash或与该协议相关的任何以太坊钱包地址进行交互,否则,将受到民事和潜在的刑事处罚。
在被实施制裁后,TornadoCash仅存入了600万美元,存款额大幅下降,与前一周相比下降了78.5%,然而用户急于提取资金导致整体交易量增加,自被实施制裁以来,已从协议中提取6200万美元。
可能源于此,本次攻击事件中,攻击者才会将大部分被盗资金发送到中心化交易所FixedFloat和Binance中,进而被冻结追回。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。