Giao thức stablecoin phi tập trung USPD bị tấn công với thiệt hại 1M$

USPD đang đối mặt với một vụ vi phạm bảo mật nghiêm trọng sau khi kẻ tấn công âm thầm kiểm soát hợp đồng proxy của nó cách đây vài tháng và sử dụng quyền truy cập đó để tạo token mới và rút cạn tiền.

USPD tiết lộ sự cố vào ngày 5 tháng 12, cho biết vụ khai thác đã cho phép kẻ tấn công tạo ra khoảng 98 triệu USPD và rút khoảng 232 stETH, trị giá khoảng 1 triệu đô la. Nhóm kêu gọi người dùng không mua token và thu hồi các phê duyệt cho đến khi có thông báo mới.

Kẻ tấn công sử dụng kiểm soát proxy ẩn 

Giao thức nhấn mạnh rằng logic hợp đồng thông minh đã được kiểm toán của họ không phải là nguồn gốc của sự cố. USPD cho biết các công ty như Nethermind và Resonance đã xem xét mã, và các bài kiểm tra nội bộ xác nhận hành vi như mong đợi. Thay vào đó, vụ vi phạm đến từ điều mà nhóm mô tả là cuộc tấn công "CPIMP", một chiến thuật nhắm vào cửa sổ triển khai của hợp đồng proxy.

Theo USPD, kẻ tấn công đã chạy trước quá trình khởi tạo vào ngày 16 tháng 9 bằng giao dịch Multicall3. Kẻ tấn công nhảy vào trước khi tập lệnh triển khai hoàn thành, chiếm quyền truy cập quản trị và đưa vào một triển khai proxy ẩn.

Để giữ cho thiết lập độc hại ẩn khỏi người dùng, kiểm toán viên và thậm chí cả Etherscan, phiên bản bóng đó đã chuyển tiếp các cuộc gọi đến hợp đồng đã được kiểm toán.

Sự ngụy trang hoạt động vì kẻ tấn công đã thao túng dữ liệu sự kiện và giả mạo các vị trí lưu trữ để các trình khám phá khối hiển thị triển khai hợp pháp. Điều này để lại cho kẻ tấn công toàn quyền kiểm soát trong nhiều tháng cho đến khi họ nâng cấp proxy và thực hiện sự kiện tạo token đã rút cạn giao thức.

USPD cho biết họ đang làm việc với cơ quan thực thi pháp luật, các nhà nghiên cứu bảo mật và các sàn giao dịch lớn để theo dõi tiền và ngăn chặn các chuyển động tiếp theo. Nhóm đã đề nghị kẻ tấn công cơ hội trả lại 90% tài sản theo cấu trúc tiền thưởng lỗi tiêu chuẩn, nói rằng họ sẽ coi hành động đó là khôi phục whitehat nếu tiền được gửi lại.

Khai thác thêm vào một tháng nặng nề

Sự cố USPD xảy ra trong một trong những giai đoạn hoạt động tích cực khác cho các vụ khai thác năm nay, với tổn thất trong tháng 12 đã vượt quá 100 triệu đô la.

Upbit, một trong những sàn giao dịch lớn nhất của Hàn Quốc, đã xác nhận vụ vi phạm 30 triệu đô la liên quan đến Nhóm Lazarus vào đầu tuần này. Các nhà điều tra cho biết kẻ tấn công đã giả dạng quản trị viên nội bộ để có được quyền truy cập, tiếp tục một mô hình đã đẩy các vụ trộm liên quan đến Lazarus lên trên 1 tỷ đô la trong năm nay.

Yearn Finance cũng đối mặt với một vụ khai thác đầu tháng 12 ảnh hưởng đến hợp đồng token yETH cũ của họ. Kẻ tấn công đã sử dụng một lỗi cho phép tạo không giới hạn, tạo ra hàng nghìn tỷ token trong một giao dịch và rút cạn khoảng 9 triệu đô la giá trị.

Chuỗi sự cố này làm nổi bật sự tinh vi ngày càng tăng trong các cuộc tấn công tập trung vào DeFi, đặc biệt là những cuộc tấn công nhắm vào hợp đồng proxy, khóa quản trị và hệ thống cũ. Các nhóm bảo mật cho biết sự quan tâm đang tăng lên xung quanh các công cụ tính toán đa bên phi tập trung và các khuôn khổ triển khai được củng cố khi các giao thức tìm cách giảm tác động của các lỗi điểm đơn.