Protocolo USPD Sofre Exploração Através do Vetor de Ataque "CPIMP"

• Apesar de passar por auditorias da Nethermind e Resonance, o protocolo USPD foi comprometido através de um raro exploit CPIMP.
• O atacante utilizou diferentes técnicas que lhe permitiram criar tokens não autorizados e drenar liquidez sem detecção.

Há algumas horas, a equipe USPD confirmou que houve um ataque que causou à plataforma a criação não autorizada de tokens e perda de liquidez.

De acordo com os detalhes, a violação não veio de erros no design do contrato inteligente do protocolo, mas foi causada por um método incomum e extremamente sofisticado conhecido como exploit Clandestine Proxy In the Middle of Proxy (CPIMP). Um conceito complexo? Deixe-me explicar.

Como o Hacker Utilizou o CIMP para Explorar o Protocolo USPD

Antes do lançamento do USPD, o sistema passou por extensas revisões de segurança realizadas por duas respeitadas empresas de auditoria, Nethermind e Resonance. Durante a auditoria, cada parte da plataforma foi testada, verificada e validada, e quando foi lançada, a arquitetura seguiu as práticas de segurança típicas do setor, e todas as unidades do código-base passaram nas avaliações.

No entanto, apesar dos processos de alto nível implementados, o atacante conseguiu infiltrar-se no processo de implantação em 16 de setembro. Durante a implementação, o atacante conseguiu executar cuidadosamente uma antecipação cronometrada usando uma transação Multicall3.

Este passo deu-lhes a oportunidade de ganhar controle sobre o papel de administrador do proxy antes que o script de implantação chegasse à etapa destinada a finalizar a propriedade. Depois de conseguirem assumir o controle, o atacante inseriu uma implementação diferente por trás do proxy.

Leia também: Binance Coin mantém suporte chave enquanto sinais de mercado apontam para uma possível quebra

Ao fazer isso, a configuração encaminhou todas as solicitações para o contrato original verificado. Assim, com isso em vigor, nada parecia suspeito do lado de fora (ou seja, do lado da equipe USPD e do lado dos usuários). Eles também manipularam dados de eventos e alteraram slots de armazenamento de uma forma que fez o Etherscan exibir o contrato correto e auditado como a implementação ativa.

Ao analisar isso, podemos ver claramente que os hackers executaram meticulosamente cada etapa silenciosamente, com precisão e quase impossível de detectar em tempo real.

A equipe USPD, por outro lado, compartilhou que está trabalhando em parceria com as agências de aplicação da lei e especialistas em cibersegurança para garantir que os hackers sejam expostos. Além disso, as carteiras do atacante foram relatadas às principais exchanges centralizadas e descentralizadas para bloquear a movimentação dos ativos roubados.

Leia também: Departamento de Justiça dos EUA apreende domínio de fraude cripto ligado ao Sudeste Asiático