USPD Säkerhetsbrott
USPD står inför ett allvarligt säkerhetsbrott efter att en angripare tyst har fått kontroll över sitt proxykontrakt under flera månader och använt den åtkomsten för att prägla nya tokens och tömma medel. USPD avslöjade incidenten den 5 december och meddelade att utnyttjandet tillät angriparen att prägla ungefär 98 miljoner USPD och ta bort cirka 232 stETH, värt omkring 1 miljon dollar. Teamet uppmanade användare att inte köpa token och att återkalla godkännanden tills vidare meddelande. Protokollet betonade att dess granskade smarta kontraktslogik inte var källan till felet. USPD uppgav att företag som Nethermind och Resonance hade granskat koden, och interna tester bekräftade det förväntade beteendet. Istället kom brottet från vad teamet beskrev som en ”CPIMP”-attack, en taktik som riktar sig mot distributionsfönstret för ett proxykontrakt.
AKUT SÄKERHETSALERT: USPD PROTOKOLL UTTNYTTJANDE
1/ Vi har bekräftat ett kritiskt utnyttjande av USPD-protokollet som resulterar i obehörig prägling och likviditetstömning. Vänligen KÖP INTE USPD. Återkalla alla godkännanden omedelbart.
Enligt USPD inledde angriparen initieringsprocessen den 16 september med en Multicall3-transaktion. Angriparen hoppade in innan distributionsskriptet var klart, tog administratörsbehörighet och smög in en dold proxyimplementering. För att hålla den skadliga uppsättningen dold från användare, revisorer och till och med Etherscan, vidarebefordrade den skuggversionen anrop till det granskade kontraktet. Kamouflage fungerade eftersom angriparen manipulerade händelsedata och förfalskade lagringsplatser så att blockutforskare visade den legitima implementeringen. Detta lämnade angriparen i full kontroll i månader tills de uppgraderade proxyen och genomförde präglingseventet som tömde protokollet.
USPD meddelade att de arbetar med brottsbekämpande myndigheter, säkerhetsforskare och stora börser för att spåra medel och stoppa ytterligare rörelser. Teamet har erbjudit angriparen en chans att återlämna 90% av tillgångarna under en standard bug-bounty-struktur och meddelade att de skulle behandla åtgärden som en whitehat-återställning om medlen skickas tillbaka.
USPD-incidenten inträffar under en av de mest aktiva perioderna för utnyttjanden i år, med förluster över december som redan passerat 100 miljoner dollar. Upbit, en av Sydkoreas största börser, bekräftade ett 30 miljoner dollar brott kopplat till Lazarus Group tidigare denna vecka. Utredare säger att angriparna utgav sig för att vara interna administratörer för att få åtkomst, vilket fortsätter ett mönster som har drivit Lazarus-kopplade stölder över 1 miljard dollar i år. Yearn Finance stod också inför ett utnyttjande i början av december som påverkade sitt arv yETH-tokenkontrakt. Angripare använde en bugg som tillät obegränsad prägling, vilket producerade biljoner tokens i en transaktion och tömde cirka 9 miljoner dollar i värde.
Denna serie incidenter belyser den ökande sofistikeringen i DeFi-fokuserade attacker, särskilt de som riktar sig mot proxykontrakt, administratörsnycklar och arvssystem. Säkerhetsteam rapporterar att intresset ökar för decentraliserade flerparti beräkningsverktyg och hårdnade distributionsramverk när protokoll försöker minska effekten av enskilda felpunkter.
