Децентрализованный протокол стейблкоина USPD подвергся эксплуатации на сумму 1 000 000 $
USPD столкнулся с серьезным нарушением безопасности после того, как злоумышленник тихо получил контроль над прокси-контрактом несколько месяцев назад и использовал этот доступ для создания новых токенов и вывода средств.
- USPD подвергся эксплуатации после того, как злоумышленник захватил права администратора прокси во время развертывания.
- Взлом привел к несанкционированному майнингу USPD и оттоку stETH на сумму около 1 миллион $.
- Инцидент добавляется к месяцу крупных эксплойтов, затрагивающих биржи и децентрализованные финансовые протоколы.
USPD раскрыл информацию об инциденте 5 декабря, сообщив, что эксплойт позволил злоумышленнику создать примерно 98 миллионов USPD и вывести около 232 stETH стоимостью около 1 миллион $. Команда призвала пользователей не покупать токен и отозвать разрешения до дальнейшего уведомления.
Злоумышленники использовали скрытый контроль прокси
Протокол подчеркнул, что его проверенная логика смарт-контракта не была источником сбоя. USPD сообщил, что такие компании, как Nethermind и Resonance, проверили код, а внутренние тесты подтвердили ожидаемое поведение. Вместо этого взлом произошел из-за того, что команда описала как атаку "CPIMP", которая является тактикой, нацеленной на окно развертывания прокси-контракта.
Согласно USPD, злоумышленник опередил процесс инициализации 16 сентября, используя транзакцию Multicall3. Злоумышленник вмешался до завершения скрипта развертывания, получил доступ администратора и внедрил скрытую реализацию прокси.
Чтобы сохранить злонамеренную настройку скрытой от пользователей, аудиторов и даже Etherscan, эта теневая версия перенаправляла вызовы на проверенный контракт.
Камуфляж сработал, потому что злоумышленник манипулировал данными событий и подделывал слоты хранения, так что обозреватели блоков отображали законную реализацию. Это оставило злоумышленника в полном контроле на протяжении месяцев, пока он не обновил прокси и не выполнил событие майнинга, которое опустошило протокол.
USPD сообщил, что работает с правоохранительными органами, исследователями безопасности и крупными биржами для отслеживания средств и остановки дальнейшего движения. Команда предложила злоумышленнику возможность вернуть 90% активов в рамках стандартной структуры вознаграждения за обнаружение ошибок, заявив, что будет рассматривать это действие как восстановление уайтхатом, если средства будут возвращены.
Эксплойт добавляется к месяцу тяжелых
Инцидент с USPD происходит в один из самых активных периодов для эксплойтов в этом году, с потерями по всему декабрю, уже превышающими 100 миллионов $.
Upbit, одна из крупнейших бирж Южной Кореи, подтвердила взлом на сумму 30 миллионов $, связанный с группой Lazarus ранее на этой неделе. Следователи говорят, что злоумышленники выдавали себя за внутренних администраторов для получения доступа, продолжая схему, которая привела к кражам, связанным с Lazarus, на сумму более 1 миллиард $ в этом году.
Yearn Finance также столкнулся с эксплойтом в начале декабря, затрагивающим его устаревший контракт токена yETH. Злоумышленники использовали ошибку, которая позволяла неограниченный майнинг, производя триллионы токенов в одной транзакции и выводя около 9 миллионов $ в стоимости.
Серия инцидентов подчеркивает растущую сложность атак, ориентированных на DeFi, особенно тех, которые нацелены на прокси-контракты, ключи администратора и устаревшие системы. Команды безопасности говорят, что растет интерес к децентрализованным инструментам многопартийных вычислений и усиленным фреймворкам развертывания, поскольку протоколы стремятся снизить влияние отказов в одной точке.
Вам также может быть интересно
Ожидание растет, поскольку Bitcoin приближается к критическому порогу
Падение на $2 тысячи сегодня было только началом: почему этот аналитик считает, что обвал Биткоина еще не завершен
