เมื่อวันที่ 10 สิงหาคม 2022 ตามเวลาปักกิ่ง การตรวจสอบความคิดเห็นสาธารณะของ Chengdu Lianan Hawkeye-Blockchain Security Situational Awareness Platform แสดงให้เห็นว่าโปรโตคอลการเงินแบบกระจายอำนาจ Curve Finance ถูกโจมตีโดย DNS hijacking!

หลังจากการโจมตี Curve ทวีตเพื่อยืนยันว่าเซิร์ฟเวอร์ชื่อโดเมน Curve.fi ถูกขโมย และเตือนผู้ใช้ให้ยกเลิกสัญญา 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 บน Curve และใช้ curve.exchange ชั่วคราว

เช้าวันนี้ Zhao Changpeng ผู้ก่อตั้ง Binance ทวีตเกี่ยวกับ Curve ที่ถูกแฮ็กและกล่าวว่า: Curve ใช้ GoDaddy เนื่องจาก DNS ไม่ปลอดภัย และโครงการ Web3 ใดๆ ก็ไม่ควรใช้ เนื่องจากมีความเสี่ยงสูงต่อวิศวกรรมสังคม

การโจมตีด้วยการไฮแจ็ก DNS นั้นค่อนข้างหายากในฟิลด์ Web3.0 เหตุการณ์นี้ให้ความรู้ด้านความปลอดภัยอะไรแก่เราและจะมีผลกระทบอย่างไรต่อความปลอดภัยทางนิเวศวิทยาของ Web3.0 blockchain

1 การโจมตีแบบหักหลัง DNS คืออะไร

DNS ชื่อเต็มคือ ระบบชื่อโดเมน ระบบชื่อโดเมน

เราทราบดีว่าหน้าที่หลักของ DNS คือการแปลชื่อโดเมนเป็นที่อยู่ IP เพื่อให้คอมพิวเตอร์จดจำ เพื่อให้เราสามารถเข้าถึงเซิร์ฟเวอร์ที่เกี่ยวข้องได้โดยตรงโดยการป้อนชื่อโดเมน ดังนั้น ในกระบวนการเข้าถึงเครือข่ายทั้งหมด บทบาทของ DNS จึงมีความสำคัญมาก

อย่างไรก็ตาม หากผู้โจมตีแก้ไขการตั้งค่าความละเอียด DNS และชี้ชื่อโดเมนจาก IP ปกติไปยัง IP ที่ผิดกฎหมายซึ่งควบคุมโดยผู้โจมตี มันจะทำให้เราเข้าถึงชื่อโดเมนเพื่อเปิดเว็บไซต์ที่ไม่สามารถเข้าถึงได้หรือเป็นเว็บไซต์ปลอมแทนเว็บไซต์ที่เกี่ยวข้อง วิธีการคือการหักหลัง DNS

2 วิธีที่ DNS Hijacking โจมตี Hacked Curve Finance

Curve Finance เป็นโปรโตคอลทางการเงินแบบกระจายอำนาจ (DeFi) ที่ให้บริการธุรกรรม Stablecoin ที่ "มีประสิทธิภาพอย่างยิ่ง" โดยมี Slippage และค่าธรรมเนียมต่ำ ถือเป็นกระดูกสันหลังของระบบนิเวศ DeFi โดยมีมูลค่ารวมกว่า 6 พันล้านดอลลาร์

ครั้งนี้ Curve Finance พบการโจมตีแบบหักหลัง DNS เนื่องจากผู้รับจดทะเบียนชื่อโดเมนhttp://iwantmyname.comระบบได้รับความเสียหาย เนมเซิร์ฟเวอร์ของ Curve ถูกแก้ไขโดยเซิร์ฟเวอร์ DNS ที่ควบคุมโดยแฮ็กเกอร์ และทราฟฟิกของ Curve.Fi ถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์ 5.199.174.238 และ 87.120.37.46

ในเวลาเดียวกัน เซิร์ฟเวอร์ dns ที่เป็นอันตรายที่ผู้โจมตีใช้งานคือ ip ของเซิร์ฟเวอร์เว็บที่เป็นอันตรายทั้งสองเครื่อง ซึ่งอาจมี DNS และบริการบนเว็บอยู่พร้อมกัน จึงทำให้การโต้ตอบสัญญาที่เป็นอันตรายของ ผู้ใช้ curve.fi

ข้อมูลออนไลน์แสดงให้เห็นว่าสัญญาที่เป็นอันตรายที่เกี่ยวข้องกับข้อบกพร่องดูเหมือนจะขโมย USDC และ DAI จากเหยื่อ 8 รายที่แตกต่างกัน เงินถูกโอนไปยังกระเป๋าเงินของผู้โจมตีและแลกเปลี่ยนเป็นโทเค็น ETH ซึ่งจะถูกส่งไปยังการแลกเปลี่ยน cryptocurrency FixedFloat

3 การวิเคราะห์เบาะแสของเงินที่ถูกขโมยไปในเหตุการณ์นี้

จากการเผยแพร่ ทีมรักษาความปลอดภัยของ Chengdu Lianan ใช้ Lianbizhui-Virtual Currency Intelligent Research and Judgment Platform เพื่อตรวจสอบ ติดตาม และวิเคราะห์ที่อยู่ของเงินที่ถูกขโมย และพบว่า Curve แฮ็กเกอร์ที่อยู่ 0x50f9202e0f1c1577822BD67193960B213CD2f331 ได้โอนเงินผ่าน Tornado Cash ซึ่งก็คือ เพิ่งถูกแฮ็กเมื่อวานนี้ การลงโทษโดย U.S. Treasury Department

การสูญเสียทั้งหมดที่เกิดจากเหตุการณ์นี้อยู่ที่ประมาณ 770,000 ดอลลาร์ ซึ่งรวมถึง 200,000 ดอลลาร์ที่ถูกระงับโดยการแลกเปลี่ยน FixedFloat

4 วิธีป้องกัน "ลูกเล่นแฟนซี" ที่เล่นโดยแฮ็กเกอร์ใน Web3.0

อย่างไรก็ตาม เมื่อเช้านี้ Curve Finance ทวีตว่าการแลกเปลี่ยน curve.exchange ไม่ได้รับผลกระทบจากการโจมตี เนื่องจากใช้ผู้ให้บริการระบบชื่อโดเมน (DNS) รายอื่น Curve ชี้ให้เห็นว่าผู้ให้บริการเซิร์ฟเวอร์ DNS Iwantmyname อาจถูกแฮ็ก และเสริมว่าพวกเขาได้เปลี่ยนเนมเซิร์ฟเวอร์แล้ว และขณะนี้ปัญหาได้รับการแก้ไขแล้ว และผู้ใช้จะถูกสั่งให้ยกเลิกสัญญาในอนาคตอันใกล้นี้

ทีมรักษาความปลอดภัยของเฉิงตู เหลียนหนานขอเตือนทุกคน: ก่อนยืนยันธุรกรรม ขั้นแรกให้ระบุที่อยู่ของสัญญาที่โต้ตอบ เช่น ฉลากของที่อยู่และประวัติการโต้ตอบที่ผ่านมาของที่อยู่