Vào ngày 10 tháng 8 năm 2022, theo giờ Bắc Kinh, dư luận theo dõi Nền tảng nhận thức tình huống bảo mật chuỗi khối Thành Đô Lianan Hawkeye-Blockchain cho thấy giao thức tài chính phi tập trung Curve Finance bất ngờ bị tấn công bằng cách chiếm quyền điều khiển DNS!

Sau vụ tấn công, Curve đã tweet để xác nhận rằng máy chủ tên miền Curve.fi đã bị đánh cắp, đồng thời cảnh báo người dùng hủy hợp đồng 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 trên Curve và tạm thời sử dụng Curve.exchange.

Sáng nay, người sáng lập Binance Zhao Changpeng đã tweet về việc Curve bị hack và nói: Curve sử dụng GoDaddy vì DNS không an toàn và bất kỳ dự án Web3 nào cũng không nên sử dụng nó, vì nó rất dễ bị tấn công bằng kỹ thuật xã hội.

Các cuộc tấn công chiếm quyền điều khiển DNS thực sự tương đối hiếm trong lĩnh vực Web3.0. Sự cố này mang lại cho chúng ta giác ngộ bảo mật nào và nó sẽ có tác động gì đối với an ninh sinh thái của chuỗi khối Web3.0?

1 Tấn công chiếm quyền điều khiển DNS là gì?

DNS, tên đầy đủ là Hệ thống tên miền Hệ thống tên miền.

Chúng ta biết rằng chức năng chính của DNS là dịch tên miền thành địa chỉ IP để máy tính nhận ra, để chúng ta có thể truy cập trực tiếp vào máy chủ tương ứng bằng cách nhập tên miền. Vì vậy, trong toàn bộ quá trình truy cập mạng, vai trò của DNS là rất quan trọng.

Tuy nhiên, nếu kẻ tấn công can thiệp vào cài đặt phân giải DNS và trỏ tên miền từ IP bình thường sang IP bất hợp pháp do kẻ tấn công kiểm soát, nó sẽ khiến chúng tôi truy cập vào tên miền để mở một trang web giả mạo hoặc không thể truy cập thay vì trang web tương ứng .Phương tiện là chiếm quyền điều khiển DNS.

2 Cách tấn công chiếm quyền điều khiển DNS Hacked Curve Finance

Curve Finance là một giao thức tài chính phi tập trung (DeFi) cung cấp các giao dịch stablecoin "cực kỳ hiệu quả" với mức trượt giá và phí thấp. Nó được coi là xương sống của hệ sinh thái DeFi, với tổng giá trị hơn 6 tỷ đô la bị khóa.

Lần này Curve Finance gặp phải cuộc tấn công chiếm đoạt DNS do nhà đăng ký tên miềnhttp://iwantmyname.comHệ thống bị hỏng, máy chủ định danh của đường cong bị can thiệp vào máy chủ dns do tin tặc kiểm soát và lưu lượng truy cập của đường cong.fi được chuyển hướng đến máy chủ của tin tặc 5.199.174.238 và 87.120.37.46.

Đồng thời, máy chủ dns độc hại do kẻ tấn công triển khai là ip của hai máy chủ web độc hại, có thể đồng thời có dns và dịch vụ web trên đó, do đó khiến tương tác hợp đồng độc hại 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 bị tin tặc kiểm soát mà không hay biết người dùng đường cong.fi .

Dữ liệu trên chuỗi cho thấy các hợp đồng độc hại liên quan đến lỗi dường như đã đánh cắp USDC và DAI từ tám nạn nhân khác nhau. Số tiền đã được chuyển vào ví của kẻ tấn công và đổi lấy mã thông báo ETH, sau đó được gửi đến sàn giao dịch tiền điện tử FixedFloat.

3 Phân tích vị trí của số tiền bị đánh cắp trong vụ việc này

Kể từ khi xuất bản, nhóm bảo mật của Thành Đô Lianan đã sử dụng Nền tảng phán đoán và nghiên cứu thông minh tiền ảo Lianbizhui để theo dõi, theo dõi và phân tích địa chỉ tiền bị đánh cắp và phát hiện ra rằng địa chỉ tin tặc Curve 0x50f9202e0f1c1577822BD67193960B213CD2f331 đã chuyển tiền thông qua Tornado Cash, đó là chỉ bị hack ngày hôm qua. Các lệnh trừng phạt của Bộ Tài chính Hoa Kỳ.

Tổng thiệt hại do sự cố này gây ra là khoảng 770.000 đô la, bao gồm 200.000 đô la bị đóng băng bởi sàn giao dịch FixedFloat.

4 Cách phòng tránh những “chiêu trò hoa mỹ” của hacker trong Web3.0

Tuy nhiên, sáng nay, Curve Finance đã tweet rằng sàn giao dịch Curve.exchange dường như không bị ảnh hưởng bởi cuộc tấn công vì nó sử dụng một nhà cung cấp Hệ thống tên miền (DNS) khác. Curve chỉ ra rằng nhà cung cấp máy chủ DNS Iwantmyname có khả năng đã bị tấn công và nói thêm rằng họ đã thay đổi máy chủ định danh và vấn đề hiện đã được giải quyết và người dùng sẽ được hướng dẫn hủy bỏ hợp đồng của họ trong tương lai gần.

Nhóm bảo mật của Thành Đô Lianan xin nhắc nhở mọi người: Trước khi xác nhận giao dịch, trước tiên hãy xác định địa chỉ của hợp đồng tương tác, chẳng hạn như nhãn của địa chỉ và lịch sử tương tác trước đây của địa chỉ.