Децентралізований протокол стейблкоїнів USPD зазнав експлойту на $1 млн
USPD зіткнувся з серйозним порушенням безпеки після того, як зловмисник тихо отримав контроль над його проксі-контрактом кілька місяців тому і використав цей доступ для майнінгу нових токенів та виведення коштів.
- USPD постраждав від експлойту після того, як зловмисник захопив права адміністратора проксі під час розгортання.
- Порушення призвело до несанкціонованого майнінгу USPD та відтоку stETH вартістю близько 1 мільйона доларів.
- Інцидент додається до місяця серйозних експлойтів, що впливають на біржі та децентралізовані фінансові протоколи.
USPD розкрив інцидент 5 грудня, повідомивши, що експлойт дозволив зловмиснику створити приблизно 98 мільйонів USPD і вивести близько 232 stETH вартістю близько 1 мільйона доларів. Команда закликала користувачів не купувати токен і відкликати дозволи до подальшого повідомлення.
Зловмисники використовували прихований контроль проксі
Протокол підкреслив, що його перевірена логіка смартконтракту не була джерелом збою. USPD повідомив, що такі фірми, як Nethermind і Resonance, перевірили код, а внутрішні тести підтвердили очікувану поведінку. Натомість порушення виникло з того, що команда описала як атаку "CPIMP", яка є тактикою, що націлена на вікно розгортання проксі-контракту.
За даними USPD, зловмисник випередив процес ініціалізації 16 вересня, використовуючи транзакцію Multicall3. Зловмисник втрутився до завершення скрипту розгортання, отримав доступ адміністратора і вставив приховану реалізацію проксі.
Щоб приховати шкідливу налаштування від користувачів, аудиторів і навіть Etherscan, ця тіньова версія перенаправляла виклики до перевіреного контракту.
Камуфляж спрацював, оскільки зловмисник маніпулював даними подій і підробляв слоти зберігання, щоб блок-експлорери відображали легітимну реалізацію. Це залишило зловмисника в повному контролі протягом місяців, поки він не оновив проксі та не виконав подію майнінгу, яка спустошила протокол.
USPD повідомив, що працює з правоохоронними органами, дослідниками безпеки та великими біржами для відстеження коштів і припинення подальшого руху. Команда запропонувала зловмиснику можливість повернути 90% активів за стандартною структурою винагороди за виявлення помилок, заявивши, що вважатиме цю дію відновленням "білого хакера", якщо кошти будуть повернуті.
Експлойт додається до місяця важких
Інцидент USPD відбувається протягом одного з найактивніших періодів для експлойтів цього року, з втратами за грудень, що вже перевищують 100 мільйонів доларів.
Upbit, одна з найбільших бірж Південної Кореї, підтвердила порушення на 30 мільйонів доларів, пов'язане з групою Lazarus раніше цього тижня. Слідчі кажуть, що зловмисники видавали себе за внутрішніх адміністраторів для отримання доступу, продовжуючи схему, яка підняла крадіжки, пов'язані з Lazarus, вище 1 мільярда доларів цього року.
Yearn Finance також зіткнувся з експлойтом на початку грудня, що вплинув на його застарілий контракт токена yETH. Зловмисники використали помилку, яка дозволяла необмежений майнінг, створюючи трильйони токенів в одній транзакції та виводячи близько 9 мільйонів доларів вартості.
Серія інцидентів підкреслює зростаючу складність атак, орієнтованих на DeFi, особливо тих, що націлені на проксі-контракти, адміністративні ключі та застарілі системи. Команди безпеки кажуть, що зростає інтерес до децентралізованих інструментів багатосторонніх обчислень та посилених фреймворків розгортання, оскільки протоколи прагнуть зменшити вплив відмов в одній точці.
Вам також може сподобатися
Нова ера починається: CFTC схвалює спотовий Bitcoin на регульованих ринках США
Чому трейдери Bitcoin побоюються повторення краху липня 2024 року наступного тижня
