Curve Finance被黑客攻擊事件分析_Curve

2022年8月10日，去中心化穩定幣交易協議CurveFinance突遭DNS劫持攻擊，本次事件中共有價值約61.3萬美元的穩定幣被盜取，被盜資金被攻擊者兌換成ETH并分批進行轉移。Curve隨即發出警告，提醒用戶暫時不要使用Curve.fi域名，并立即解除合約授權。

SAFEIS第一時間對該事件進行追蹤分析。

一、CurveFinance簡介

CurveFinance是一個基于以太坊的去中心化穩定幣交易協議，該平臺主要為實現高效的穩定幣交易，Curve可以讓用戶以極其低的滑點和手續費實現穩定幣交易，它的算法專門為穩定幣設計并以此盈利，目前Curve已經支持多條公鏈。

DeFi研究員：Curve Finance漏洞“動搖了人們對DeFi的信心”，任何使用Vyper編寫的協議都可能面臨風險:金色財經報道，一位名為Ignas Defi Research 的DeFi研究員表示，Curve Finance漏洞“動搖了人們對DeFi的信心”。Ignas表示，如果一個運行了三年沒有問題的協議被利用，這會讓人們質疑 Aave、Compound 甚至Uniswap等其他藍籌協議的安全性，加密用戶已經擔心 Uniswap v4 具有單一的智能合約設計，如果遭到黑客攻擊，風險會更大，因為所有資金都會立即受到攻擊。

Ignas 表示，黑客利用的是 Vyper 編譯器，而不是 Curve 的智能合約本身，這一點令人擔憂，因為現在用 Vyper 編譯的任何協議都可能面臨風險。[2023/7/31 16:09:32]

Curve創始人MichaleEgorov于2019年11月發布了白皮書，并最終在2020年2月10日將該協議重新命名為CurveFinance。

Curve Finance向Optimism申請100萬OP代幣贈款:金色財經報道，根據提交的Optimism論壇上的帖子，Curve Finance已經提交了一份關于Optimism 的治理提案，以授予100萬個OP代幣。Curve鎖定在Optimism上的總價值目前為1740萬美元，在Optimism的Curve池中平均每周交易量為340萬美元。根據贈款提案，目前價值850,000美元的100萬個OP代幣將在20周內在Curve上分發。這意味著如果通過，每周將向Curve池分配50,000 個OP代幣。

這些代幣將作為對Optimism衡量曲線池的流動性提供者 (LP) 的激勵。Curve上的計量池每周接收代幣排放。這些礦池由每周在Curve上進行的鏈上DAO投票決定。

目前Optimism上有三個衡量曲線池：sUSD、sETH和sBTC。根據公告，這三個池將成為每周50,000個OP代幣排放的接收者，但隨著時間的推移，這個數字預計會增加。[2022/7/26 2:36:59]

Curve已上線Synthetix的跨資產交換功能:1月18日，Curve Finance官方宣布，已上線Synthetix的跨資產交換功能。根據Synthetix的說法，該功能通過Synthetix平臺可實現從ERC20代幣和ERC20代幣交換。例如，DAI和renBTC交換的過程就是，從DAI交換成sUSD，再將sUSD交換為sBTC，最后將sBTC交換為renBTC。[2021/1/18 16:24:41]

Curve

二、攻擊事件詳情

攻擊者攻擊CurveFinance的Curve.fi域名服務器并重定向到克隆的惡意站點，兩個站點的服務器IP分別為5.199.174.238和87.120.37.46。

yearn.finance提議將智能錢包白名單納入Curve:yearn.finance創始人Andre Cronje在Curve上提出提案，將數字錢包白名單以及升級的智能錢包檢查器加入到Curve當中。如果通過，將會允許yearn.finance通過proxy參與到治理當中。[2020/8/25]

在克隆的站點上，攻擊者注入了惡意代碼，要求用戶對未經驗證的合約給予令牌批準。如果用戶批準了該交易，那么用戶的資金就會被攻擊者使用這個惡意合約引導到黑客地址

攻擊者共盜取了價值約61.3萬美元的穩定幣，幣種主要為USDC和DAI。

重定向

攻擊者隨即將所有穩定幣兌換成362枚ETH。

爾后，攻擊者分批將這些ETH發送到以下位置：

TornadoCash：27.7ETH

FixedFloat：292ETH

Binance：20ETH

0xcDd3和0x4547開頭地址：23.1ETH

隨后，中心化交易所FixedFloat和Binance表示已凍結轉入其平臺的Curve被盜資金，截止發稿，已有45萬美元的被盜資金被追回，占總被盜資金的83%。

結論

攻擊者入侵CurveFinance的DNS進行攻擊，正是利用Web2漏洞對Web3用戶進行攻擊的一個示例。

此外，還值得注意的是，在之前的黑客攻擊事件中，攻擊者通常會把大部分甚至全部被盜資金存入TornadoCash進行洗錢，這大幅提高了安全監管和資金查控工作的難度，也極大地助長了非法活動，包括為黑客攻擊、惡意詐騙、網賭、傳銷以及勒索犯罪行為提供便利。

但近日美國財政部海外資產控制辦公室將TornadoCash納入制裁名單，禁止所有美國公民和實體與TornadoCash或與該協議相關的任何以太坊錢包地址進行交互，否則，將受到民事和潛在的刑事處罰。

在被實施制裁后，TornadoCash僅存入了600萬美元，存款額大幅下降，與前一周相比下降了78.5%，然而用戶急于提取資金導致整體交易量增加，自被實施制裁以來，已從協議中提取6200萬美元。

可能源于此，本次攻擊事件中，攻擊者才會將大部分被盜資金發送到中心化交易所FixedFloat和Binance中，進而被凍結追回。

Tags：Curve穩定幣ETHCurve幣是什么幣為什么換穩定幣DAI穩定幣是由哪個國家提出的鑄造穩定幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意

MANA