# SAFEIS安全报告：Curve Finance被黑客攻击事件分析

By [SAFEIS](https://paragraph.com/@safeis) · 2022-08-12

---

### Curve被黑事件

**2022年8月10日，去中心化稳定币交易协议Curve Finance突遭DNS劫持攻击**，本次事件中共有价值约**61.3万美元**的稳定币被盗取，被盗资金被攻击者兑换成ETH并分批进行转移。

Curve随即发出警告，提醒用户暂时不要使用Curve.fi域名，并立即解除合约授权。

SAFEIS安全团队第一时间对该事件进行追踪分析。

### Curve Finance简介

![](https://storage.googleapis.com/papyrus_images/185fc87df6ddb8f6a50b1d17e1a852c38ca3ec2894be166138b491889043dc2d.png)

**Curve Finance是一个基于以太坊的去中心化稳定币交易协议**，该平台主要为实现高效的稳定币交易，Curve可以让用户以极其低的滑点和手续费实现稳定币交易，它的算法专门为稳定币设计并以此盈利，目前Curve已经支持多条公链。

Curve创始人Michale Egorov于2019年11月发布了白皮书，并最终在2020年2月10日将该协议重新命名为Curve Finance。

### 攻击事件详情

**攻击者攻击Curve Finance的Curve.fi域名服务器并重定向到克隆的恶意站点**，两个站点的服务器IP分别为5.199.174.238和87.120.37.46。

在克隆的站点上，攻击者注入了恶意代码，要求用户对未经验证的合约给予令牌批准。如果用户批准了该交易，那么用户的资金就会被攻击者使用这个恶意合约引导到**黑客地址（0x50f...2f331）**

攻击者共盗取了价值约**61.3万美元**的稳定币，币种主要为USDC和DAI。

![](https://storage.googleapis.com/papyrus_images/2dafab5cc3cf7db769de4be68707e034744e7951834aaba816bd513f0083decd.png)

![](https://storage.googleapis.com/papyrus_images/fa1a4e52f672401ed7231b4d0c07b7bf29165fd72e56aefe6d01dc28beb368d3.png)

攻击者随即将所有稳定币兑换成**362枚ETH**。

![](https://storage.googleapis.com/papyrus_images/3fc156448ee1a0381f4cfe44648bce1c0c6e3007994fc969445ef42c0fa70d18.png)

尔后，攻击者分批将这些ETH发送到以下位置：

Tornado Cash（隐私协议）：**27.7 ETH**

FixedFloat（中心化交易所）：**292 ETH**

Binance（中心化交易所）：**20 ETH**

0xcDd3 和 0x4547 开头地址：**23.1 ETH**

![](https://storage.googleapis.com/papyrus_images/906ed25f837e127ad073dc12e485eea88e780fd25fc0e2c439b40b3b0d26439f.jpg)

随后，中心化交易所FixedFloat和Binance表示已**冻结**转入其平台的Curve被盗资金，截止发稿，已有**45万美元**的被盗资金被追回，占总被盗资金的**83%**。

![](https://storage.googleapis.com/papyrus_images/df235e37e02752fc6018ef9adc9310431cdda108592836e84a40deeb1159951c.png)

### 结语

**攻击者入侵Curve Finance的DNS进行攻击，正是利用Web2漏洞对Web3用户进行攻击的一个示例。**

此外，还值得注意的是，在之前的黑客攻击事件中，攻击者通常会把大部分甚至全部被盗资金存入Tornado Cash进行洗钱，**这大幅提高了安全监管和资金查控工作的难度，也极大地助长了非法活动**，包括为黑客攻击、恶意诈骗、网赌、传销以及勒索犯罪行为提供便利。

但近日美国财政部海外资产控制办公室（OFAC）**将Tornado Cash纳入制裁名单**，禁止所有美国公民和实体与Tornado Cash或与该协议相关的任何以太坊钱包地址进行交互，否则，将受到民事和潜在的刑事处罚。

在被实施制裁后，Tornado Cash仅存入了 **600 万美元，存款额大幅下降**，与前一周相比下降了 **78.5%**，然而用户急于提取资金导致整体交易量增加，自被实施制裁以来，已从协议中提取 **6200 万美元**。

**可能源于此，本次攻击事件中，攻击者才会将大部分被盗资金发送到中心化交易所FixedFloat和Binance中，进而被冻结追回。**

**SAFEIS，让区块链更安全！**

---

*Originally published on [SAFEIS](https://paragraph.com/@safeis/safeis-curve-finance)*