Curve Finance突遭DNS劫持攻擊，普通人要如何防范？_DNS

北京時間2022年8月10日，成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示，去中心化金融協議CurveFinance突遭DNS劫持攻擊！

攻擊發生之后，Curve發推確認Curve.fi域名服務器遭到盜用，警告用戶撤銷Curve上的0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881合約，暫時使用curve.exchange。

今早，幣安創始人趙長鵬就Curve被黑客盜竊事件發推特表示：Curve使用GoDaddy作為DNS是不安全的，任何Web3項目都不應該使用它，因為它非常容易受到社會工程的影響。

Sturdy Finance將于5月底上線以太坊并支持Curve LP作為抵押品:金色財經消息，無息借貸協議Sturdy Finance宣布將于5月底上線以太坊，用戶屆時可以通過抵押Curve LP進行無息貸款。Sturdy Finance采用無息借貸模型，不收取借款人利息，而是將其抵押品投入DeFi并將收益支付給貸方。

此前報道，DeFi借貸協議Sturdy完成390萬美元融資，Pantera領投。[2022/5/19 3:27:59]

DNS劫持攻擊，這在Web3.0領域確實比較少見，本次事件給了我們哪些安全啟發，對Web3.0區塊鏈生態安全又會造成什么樣的影響？

Curve遭遇治理攻擊已關閉USDM gauge:11月11日，據Curve Finance官方消息，Curve Emergency DAO近期注意到了CVX價格的異常走勢，在與Yearn和Convex的共同研究下，發現此次異常是由Mochi protocol發起的治理攻擊。Mochi使用其自身代幣(MOCHI)賄賂CRV gauge中的投票，通過Convex激勵對其指標的投票，直至池內達到1億美元的流動性后，又為自己鑄造了大量代幣。

此時Mochi并沒有鑄造上限和設置代幣經濟學。新鑄造由團隊自身設定自定義價格預言機的MOCHI，LTV達到90%。隨后又在Curve中鑄造了價值4600萬美元的USDM，并將USDM轉化為DAI，后續使用DAI購買以太坊并最終購買105枚個CVX，將其鎖定。而Mochi總量的99.5%歸其團隊所有，這將意味著USDM抵押不足。同時Mochi存在嚴重的安全性問題，新購買的CVX可能會被用來向USDM池提供更多流動性，最終為Mochi團隊創造更多的流動性，將他們抵押不足的USDM拋售向其他不知情的代幣對。由于這構成了明顯的治理攻擊，同時Curve Emergency DAO認為該池中的代幣對處于危險中，因此決定關閉USDMgauge，使其立即停止接收CRV產出。[2021/11/12 6:47:29]

1什么是DNS劫持攻擊？

MakerDao社區發起提案，建議添加Curve stETH-ETH LP為抵押品:官方消息，MakerDao社區發起提案，建議添加Curve stETH-ETH LP為抵押品。[2021/9/9 23:12:40]

DNS，全稱為DomainNameSystem域名系統。

我們知道DNS的主要作用就是將域名翻譯成IP地址讓計算機識別，從而實現我們輸入域名就能直接訪問對應服務器的效果。所以在整個網絡訪問過程中，DNS的作用是十分重要的。

但如果攻擊者篡改DNS解析設置，將域名由正常IP指向由攻擊者控制的非法IP，就會導致我們訪問域名打開的卻不是對應的網站，而是一個不可達或者假冒的網站，這種攻擊手段就是DNS劫持。

2DNS劫持攻擊如何入侵CurveFinance

CurveFinance是一種去中心化金融(DeFi)協議，以低滑點和費用提供“極其高效”的穩定幣交易服務。它被認為是DeFi生態系統的支柱，鎖定的總價值超過60億美元。

本次CurveFinance遭遇了DNS劫持攻擊，是由于域名注冊商http://iwantmyname.com的系統遭到破壞，curve的nameserver被篡改成黑客控制的dnsserver，curve.fi的流量被重定向到黑客的服務器5.199.174.238和87.120.37.46。

同時，攻擊者部署的惡意dnsserver就是那兩個惡意網頁服務器的ip，大概在那上面同時設有dns和網頁的服務，因而導致不知情的curve.fi用戶被黑客控制的0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881的惡意合約互動。

鏈上數據顯示，與該漏洞相關的惡意合約似乎已經從八個不同的受害者那里竊取USDC和DAI。這些資金已經轉移到攻擊者的錢包并換成了ETH代幣，然后被發送到加密貨幣交易所FixedFloat。

3本次事件被盜資金去向分析

截至發文，成都鏈安安全團隊使用鏈必追-虛擬貨幣智能研判平臺對被盜資金地址進行監控和追蹤分析，發現Curve黑客地址0x50f9202e0f1c1577822BD67193960B213CD2f331已經通過TornadoCash轉移了資金，該混幣器平臺昨天才受到美國財政部的制裁。

本次事件導致的總損失約為77萬美元，其中包括被FixedFloat交易所凍結的20萬美元。

4黑客在Web3.0玩的“花樣把戲”應該如何防范

不過在今早，CurveFinance在Twitter上發推表示curve.exchange交易所似乎沒有受到攻擊的影響，因為它使用了不同的域名系統(DNS)提供商。Curve指出，DNS服務器提供商Iwantmyname很可能被黑客入侵并補充說他們已經更改了其域名服務器，目前該問題已得到解決，將指導用戶撤銷近期合約。

成都鏈安安全團隊在此提醒大家：確認交易前先確定交互的合約的地址，比如地址的標簽和地址過往交互的歷史。

Tags：CurveCURDNSANCLP-sCurvecurve幣最新消息dns幣的價格durianchain

DYDX