去中心化穩定幣協議 USPD 遭受 $1M 漏洞攻擊

USPD 在攻擊者數月前悄悄獲得其代理合約控制權並利用該訪問權限鑄造新代幣和耗盡資金後，正面臨嚴重的安全漏洞。

USPD 於 12 月 5 日（UTC +8）披露了該事件，表示該漏洞允許攻擊者鑄造約 9800 萬個 USPD 並移除約 232 個 stETH，價值約 100 萬美元。團隊敦促用戶不要購買該代幣並撤銷授權，直到另行通知。

攻擊者使用隱藏的代理控制 

該協議強調，其經過審計的智能合約邏輯不是失敗的來源。USPD 表示，像 Nethermind 和 Resonance 這樣的公司已經審查了代碼，內部測試確認了預期行為。相反，漏洞來自團隊描述為"CPIMP"攻擊的方式，這是一種針對代理合約部署窗口的策略。

根據 USPD 的說法，攻擊者於 9 月 16 日（UTC +8）使用 Multicall3 交易搶先執行了初始化過程。攻擊者在部署腳本完成之前介入，獲取了管理員訪問權限，並植入了隱藏的代理實現。

為了使惡意設置對用戶、審計員甚至 Etherscan 保持隱藏，該影子版本將調用轉發到經過審計的合約。

這種偽裝之所以有效，是因為攻擊者操縱了事件數據並偽造了存儲槽，使區塊瀏覽器顯示合法的實現。這使攻擊者在數月內完全控制，直到他們升級代理並執行了耗盡協議的鑄幣事件。

USPD 表示正在與執法部門、安全研究人員和主要交易所合作追蹤資金並阻止進一步的資金流動。團隊已向攻擊者提供了在標準漏洞獎勵結構下返還 90% 資產的機會，表示如果資金被送回，將把這一行動視為白帽恢復。

漏洞利用增加了一個月的嚴重事件

USPD 事件發生在今年漏洞利用最活躍的時期之一，12 月的損失已經超過了 1 億美元。

韓國最大的交易所之一 Upbit 本週早些時候確認了與 Lazarus Group 有關的 3000 萬美元漏洞。調查人員表示，攻擊者冒充內部管理員獲取訪問權限，延續了一種模式，使與 Lazarus 相關的盜竊今年已超過 10 億美元。

Yearn Finance 也面臨了 12 月初影響其傳統 yETH 代幣合約的漏洞利用。攻擊者利用了允許無限鑄造的漏洞，在一次交易中產生了數萬億代幣，並耗盡了約 900 萬美元的價值。

這一系列事件突顯了 DeFi 攻擊日益複雜，特別是針對代理合約、管理員密鑰和傳統系統的攻擊。安全團隊表示，隨著協議尋求減少單點故障的影響，對去中心化多方計算工具和強化部署框架的興趣正在增加。