DNS-угон в DeFi: как взломали Curve Finance и что это значит для криптопроектов в 2025 году

12 мая 2025 года Curve Finance, один из ключевых DeFi-протоколов, стал жертвой масштабной атаки через DNS-перехват (DNS hijacking). Хакеры получили доступ к домену “curve-fi” через регистратора iwantmyname, перенаправив пользователей на поддельный сайт с целью получения подписей от кошельков.

“Это не просто техническая уязвимость. Это показывает, что даже самые защищённые протоколы могут быть скомпрометированы на уровне интерфейса.” – аналитик CryptoWatch.

🔍 Что такое DNS-хищичество и как оно работает?

DNS (Domain Name System) — это система, которая преобразует понятные человеку доменные имена (например, curve.fi) в IP-адреса, необходимые компьютерам для связи с серверами.

• Задача DNS: упрощение навигации по интернету;
• Метод атаки: изменение DNS-записей, чтобы направить трафик на фишинговый сайт;
• Цель хакеров: получить приватные данные или подписи от криптокошельков.

Пользователи, пытаясь зайти на официальный сайт, попадали на клонированный ресурс, который выглядел идентично оригиналу, но содержал вредоносный код для дренажа средств.

🔐 Методы реализации DNS-атак в криптовалютных проектах

Существует несколько способов, как злоумышленники могут перехватывать DNS:

1. Локальный DNS-хищник: вредоносное ПО меняет настройки DNS на устройстве пользователя;
2. Перехват маршрутизатора: модификация DNS-настроек роутера для всех подключенных устройств;
3. Атака типа MITM (man-in-the-middle): перехват DNS-запросов между клиентом и сервером;
4. Взлом на уровне регистратора: изменение записей DNS на стороне доменного регистратора.

Именно последний метод использовался против Curve Finance. Хакеры получили доступ к аккаунту регистратора iwantmyname и изменили делегирование DNS-серверов, полностью перенаправив трафик на свою инфраструктуру.

💣 Как именно была атакована Curve Finance?

Утечка произошла в 20:55 UTC. В течение нескольких минут пользователи начали получать доступ к поддельному сайту, где их просили подписать транзакции.

• Фронтенд был подменён;
• Смарт-контракты остались невредимыми;
• Ни одна транзакция не прошла через основной контракт.

Хотя точное количество потерянных средств не раскрыто, известно, что некоторые пользователи потеряли значительные суммы, подписавшись на вредоносные транзакции.

Команда Curve Finance оперативно отреагировала: они перенаправили домен на нейтральные серверы, временно отключив сайт, и запустили безопасную версию по адресу curve.finance.

🛡️ Почему DNS-атаки опасны для DeFi?

В отличие от смарт-контрактных эксплойтов, DNS-атаки не оставляют следов в блокчейне. Пользователь сам отправляет данные, думая, что он на официальном сайте.

• Отсутствие on-chain доказательств;
• Высокий уровень доверия к официальному домену;
• Трудности в расследовании и восстановлении.

Это делает такие атаки особенно эффективными, особенно против новичков, которые не проверяют URL или не используют ENS-домены.

🔁 История повторяется: аналогичная атака в 2022 году

В августе 2022 года Curve Finance уже сталкивался с такой же атакой через тот же регистратор. Тогда также был перехвачен домен, и пользователи потеряли средства.

• Регистратор: iwantmyname;
• Метод: DNS-перехват;
• Результат: миллионы долларов утекли через фишинговые страницы.

Похоже, что проект не извлёк достаточных уроков из предыдущего инцидента, продолжая использовать централизованного регистратора без дополнительных мер безопасности.

🧠 Экспертное мнение: как защититься от DNS-атак?

• ThreatFabric: “Проекты должны использовать децентрализованные DNS, такие как Ethereum Name Service (ENS).”;
• Kriss Pax, аналитик: “Если ты используешь .eth домен, тебе не нужен DNS. Это снижает риски до минимума.”;
• Chainalysis: “Децентрализация фронтенда — единственный долгосрочный выход из ситуации.”.

🔐 Рекомендации для криптопроектов после атаки на Curve Finance

Мера защиты	Описание	Примеры использования
Децентрализованный DNS	Использование ENS или Handshake вместо традиционных DNS	unstoppable.money, ethereum.name
Хостинг на IPFS/Arweave	Фронтенд размещается вне централизованной инфраструктуры	ipfs-io, arweave-net
Блокировка домена	Защита аккаунта регистратора от изменений	Registrar Lock, Domain Freezing
Многофакторная аутентификация	Обязательное требование MFA для доступа к домену	Google Authenticator, Authy

🚀 Будущее DeFi: переход на децентрализованный веб

Curve Finance стал важным уроком для всего DeFi-сообщества. Хотя протоколы могут быть полностью децентрализованными и безопасными на уровне смарт-контрактов, пользователи всё ещё зависят от централизованных компонентов вроде DNS, хостинга и доменных имён.

• IPFS и Arweave: обеспечивают отказоустойчивый хостинг;
• ENS: позволяет обойтись без DNS;
• zkDNS: новые технологии проверки целостности DNS-запросов;
• Web3 браузеры: напрямую поддерживают децентрализованные домены.

“DeFi должен быть безопасным не только внутри протокола, но и во всей экосистеме, которую использует пользователь.” – Kriss Pax, аналитик крипторынка.