Protocolo de stablecoin descentralizado USPD afectado por un exploit de $1M
USPD se enfrenta a una grave brecha de seguridad después de que un atacante ganara silenciosamente el control de su contrato proxy hace meses y utilizara ese acceso para acuñar nuevos tokens y drenar fondos.
- USPD sufrió un exploit después de que un atacante se apoderara de los derechos de administrador del proxy durante el despliegue.
- La brecha llevó a la acuñación no autorizada de USPD y salidas de stETH por valor de aproximadamente $1 millón.
- El incidente se suma a un mes de importantes exploits que afectan a exchanges y protocolos de finanzas descentralizadas.
USPD reveló el incidente el 5 de diciembre, diciendo que el exploit permitió a un atacante acuñar aproximadamente 98 millones de USPD y retirar alrededor de 232 stETH, con un valor de aproximadamente $1 millón. El equipo instó a los usuarios a no comprar el token y a revocar las aprobaciones hasta nuevo aviso.
Los atacantes utilizaron control proxy oculto
El protocolo enfatizó que su lógica de contrato inteligente auditada no fue la fuente del fallo. USPD dijo que empresas como Nethermind y Resonance habían revisado el código, y las pruebas internas confirmaron el comportamiento esperado. En cambio, la brecha provino de lo que el equipo describió como un ataque "CPIMP", que es una táctica que se dirige a la ventana de despliegue de un contrato proxy.
Según USPD, el atacante adelantó el proceso de inicialización el 16 de septiembre utilizando una transacción Multicall3. El atacante intervino antes de que finalizara el script de despliegue, obtuvo acceso de administrador e introdujo una implementación proxy oculta.
Para mantener la configuración maliciosa oculta de los usuarios, auditores e incluso Etherscan, esa versión sombra reenvió llamadas al contrato auditado.
El camuflaje funcionó porque el atacante manipuló datos de eventos y falsificó slots de almacenamiento para que los exploradores de bloques mostraran la implementación legítima. Esto dejó al atacante con control total durante meses hasta que actualizaron el proxy y ejecutaron el evento de acuñación que drenó el protocolo.
USPD dijo que está trabajando con las fuerzas del orden, investigadores de seguridad y principales exchanges para rastrear fondos y detener movimientos adicionales. El equipo ha ofrecido al atacante la oportunidad de devolver el 90% de los activos bajo una estructura estándar de recompensa por errores, diciendo que trataría la acción como una recuperación de whitehat si los fondos son devueltos.
El exploit se suma a un mes intenso
El incidente de USPD llega durante uno de los períodos más activos para exploits este año, con pérdidas en diciembre que ya superan los $100 millones.
Upbit, uno de los mayores exchanges de Corea del Sur, confirmó una brecha de $30 millones vinculada al Grupo Lazarus a principios de esta semana. Los investigadores dicen que los atacantes se hicieron pasar por administradores internos para obtener acceso, continuando un patrón que ha llevado los robos vinculados a Lazarus por encima de $1 mil millones este año.
Yearn Finance también enfrentó un exploit a principios de diciembre que afectó a su contrato de token yETH heredado. Los atacantes utilizaron un error que permitía la acuñación ilimitada, produciendo billones de tokens en una transacción y drenando aproximadamente $9 millones en valor.
La serie de incidentes destaca la creciente sofisticación en los ataques centrados en DeFi, particularmente aquellos que se dirigen a contratos proxy, claves de administrador y sistemas heredados. Los equipos de seguridad dicen que está aumentando el interés en herramientas de computación multipartita descentralizada y marcos de despliegue reforzados mientras los protocolos buscan reducir el impacto de los fallos de punto único.
También te puede interesar
Irán autoriza criptomonedas para peajes del Estrecho de Hormuz – ¿Es BTC la cobertura definitiva en tiempos de guerra?
Última Oportunidad por $0.000022: Por Qué BlockDAG Supera a Tron y Litecoin
