מתקפת DNS Hijacking: כיצד אתר Curve Finance נפל קורבן והושבת

ב-12 במאי 2025, בשעה 20:55 UTC, האקרים השתלטו על מערכת שמות המתחם (DNS) של דומיין 'curve.fi' השייך לפרוטוקול Curve Finance, לאחר שהצליחו לגשת לרשם הדומיינים. התוקפים הפנו את המשתמשים לאתר זדוני במטרה לרוקן את ארנקיהם. זו הייתה המתקפה השנייה על תשתית Curve Finance בתוך שבוע.

המשתמשים הופנו לאתר שהיה למעשה פיתיון לא פונקציונלי, שנועד רק לרמות משתמשים לספק חתימות ארנק. חשוב להדגיש שהפריצה לא חדרה לחוזים החכמים של הפרוטוקול והייתה מוגבלת לשכבת ה-DNS בלבד.

מהו DNS וכיצד פועלת מתקפת DNS Hijacking?

ה-DNS (Domain Name System) הוא רכיב קריטי של האינטרנט שפועל כמו ספר טלפונים. הוא מאפשר לך להשתמש בשמות מתחם פשוטים וקלים לזכירה (כמו facebook.com) במקום כתובות IP מספריות מורכבות (כמו 192.168.1.1) עבור אתרים. ה-DNS ממיר את שמות המתחם הידידותיים הללו לכתובות IP שהמחשבים זקוקים להן כדי להתחבר.

כאשר משתמש מקליד כתובת אתר, המכשיר שלו שולח שאילתה לשרת DNS כדי לקבל את כתובת ה-IP המתאימה ולהתחבר לאתר הנכון. במתקפת DNS hijacking, תוקפים מתערבים בתהליך זה על ידי שינוי אופן פתרון שאילתות ה-DNS, ומנתבים מחדש משתמשים לאתרים זדוניים מבלי ידיעתם.

סוגים של מתקפות DNS hijacking כוללים: חטיפת DNS מקומית (באמצעות תוכנה זדונית במכשיר המשתמש), חטיפת נתב (פריצה לנתבים ביתיים או משרדיים), מתקפת Man-in-the-middle (יירוט שאילתות DNS), וחטיפה ברמת רשם הדומיינים (כפי שאירע במקרה של Curve Finance).

כיצד פעלה מתקפת ה-DNS Hijacking במקרה של Curve Finance

במקרה של Curve Finance, התוקפים חדרו למערכות של רשם הדומיינים 'iwantmyname' ושינו את האצלת ה-DNS של הדומיין 'curve.fi' כדי להפנות את התעבורה לשרת DNS משלהם.

רשם דומיינים הוא חברה מורשית לנהל את ההזמנה והרישום של שמות מתחם באינטרנט. הוא מאפשר ליחידים או ארגונים לטעון לבעלות על דומיין ולקשר אותו לשירותי אינטרנט כמו אחסון ודואר אלקטרוני.

השיטה המדויקת של הפריצה עדיין נמצאת בחקירה. נכון ל-22 במאי 2025, לא נמצאו ראיות לגישה בלתי מורשית או אישורי כניסה שנפרצו.

חשוב לציין שזו אינה הפעם הראשונה ש-Curve Finance, פרוטוקול מימון מבוזר (DeFi), סובל ממתקפה כזו. באוגוסט 2022, Curve Finance נפגע ממתקפה עם טקטיקות דומות. התוקפים שכפלו את אתר Curve Finance והתערבו בהגדרות ה-DNS כדי לשלוח משתמשים לגרסה משוכפלת של האתר. משתמשים שניסו להשתמש בפלטפורמה איבדו את כספם לתוקפים. הפרויקט השתמש באותו רשם, 'iwantmyname', בזמן המתקפה הקודמת.

כיצד Curve Finance הגיבה למתקפה

בעוד שהרשם הגיב באיטיות, צוות Curve נקט צעדים להתמודד עם המצב. הוא הצליח להפנות מחדש את הדומיין '.fi' לשרתי שמות ניטרליים, ובכך השבית את האתר בזמן שהמאמצים להשיב שליטה נמשכו.

כדי להבטיח גישה בטוחה לממשק הקדמי וניהול כספים מאובטח, צוות Curve השיק במהירות אלטרנטיבה מאובטחת בכתובת 'curve.finance', המשמשת כעת כממשק הרשמי של Curve Finance באופן זמני.

עם גילוי הניצול בשעה 21:20 UTC, ננקטו הפעולות הבאות:

• המשתמשים עודכנו מיידית דרך ערוצים רשמיים
• התבקשה הסרת הדומיין שנפרץ
• הופעלו תהליכי הפחתת נזק ושחזור דומיין
• שיתוף פעולה עם שותפי אבטחה והרשם לתיאום תגובה

למרות הפגיעה בדומיין, פרוטוקול Curve והחוזים החכמים שלו נשארו מאובטחים ופעילים לחלוטין. במהלך השיבוש של הממשק הקדמי, Curve עיבד מעל 400 מיליון דולר בנפח עסקאות on-chain. נתוני המשתמשים לא היו בסיכון, שכן הממשק הקדמי של Curve אינו מאחסן מידע משתמשים כלשהו.

לאורך כל זמן הפריצה, צוות Curve היה זמין תמיד דרך שרת Discord שלו, שם משתמשים יכלו להעלות בעיות.

כיצד פרויקטי קריפטו יכולים להתמודד עם פגיעות DNS Hijacking

המתקפה על Curve Finance מדאיגה מכיוון שהיא עקפה את מנגנוני האבטחה המבוזרים ברמת הפרוטוקול. המערכת האחורית של Curve, כלומר החוזים החכמים וההיגיון on-chain, נותרו ללא פגע, אך משתמשים איבדו כספים מכיוון שהם רומו ברמת הממשק.

אירוע זה מדגיש פגיעות משמעותית ב-DeFi. בעוד שהמערכת האחורית עשויה להיות מבוזרת וללא צורך באמון, הממשק הקדמי עדיין תלוי בתשתית Web2 ריכוזית כמו DNS, אחסון ורשמי דומיין. תוקפים יכולים לנצל נקודות חנק מרוכזות אלה כדי לערער את האמון ולגנוב כספים.

להלן מספר דרכים שבהן פרויקטי קריפטו יכולים להתמודד עם פער זה:

• צמצום התלות ב-DNS מסורתי: ניתן לצמצם את התלות ב-DNS מסורתי על ידי שילוב אלטרנטיבות מבוזרות של DNS כמו Ethereum Name Service (ENS) או Handshake, המפחיתות את הסיכון לחטיפות ברמת הרשם.
• שימוש במערכות אחסון קבצים מבוזרות: אחסון ממשקים קדמיים במערכות אחסון קבצים מבוזרות כמו IPFS או Arweave מוסיף שכבת הגנה נוספת.
• יישום הרחבות אבטחה של מערכת שמות מתחם (DNSSEC): צוותים צריכים ליישם DNSSEC כדי לאמת את שלמות רשומות ה-DNS ולמנוע שינויים לא מורשים.
• אבטחת חשבונות רשם: יש לאבטח חשבונות רשם עם שיטות אימות חזקות, כולל אימות רב-גורמי (MFA) ונעילת דומיין.
• הדרכת משתמשים: חינוך משתמשים לאימות אותנטיות האתר, כגון סימון כתובות URL במועדפים או בדיקת רשומות ENS, יכול להפחית את שיעורי ההצלחה של דיוג.

גישור על פער האמון בין פרוטוקולים מבוזרים לממשקים ריכוזיים הוא חיוני לשמירה על אבטחה ואמון המשתמשים בפלטפורמות DeFi.

מתקפת ה-DNS על Curve Finance משמשת כקריאת השכמה לתעשיית הקריפטו לחקור תשתית אינטרנט מבוזרת, כגון InterPlanetary File System (IPFS) ו-Ethereum Name Service (ENS), כדי להפחית את התלות בשירותים ריכוזיים פגיעים.