«USPD зіткнулася з серйозним порушенням безпеки після того, як кілька місяців тому зловмисник тихо отримав контроль над його проксі-контрактом і використовував цей доступ для карбування нових токенів і виведення коштів. Підсумок USPD постраждав від експлойту після того, як зловмисник отримав права адміністратора проксі під час розгортання. Порушення призвело до несанкціонованого карбування USPD і відтоку stETH», — пишуть на: www.crypto.news
USPD зіткнулася з серйозним порушенням безпеки після того, як кілька місяців тому зловмисник тихо отримав контроль над його проксі-контрактом і використовував цей доступ для карбування нових токенів і виведення коштів.
Резюме
- USPD постраждав від експлойту після того, як зловмисник отримав права адміністратора проксі під час розгортання.
- Порушення призвело до несанкціонованого карбування USPD і відтоку stETH на суму близько 1 мільйона доларів.
- Цей інцидент додав місяць серйозних експлойтів, що впливають на біржі та децентралізовані фінансові протоколи.
USPD оприлюднила інцидент 5 грудня, заявивши, що експлойт дозволив зловмиснику викарбувати приблизно 98 мільйонів USPD і видалити близько 232 stETH на суму близько 1 мільйона доларів. Команда закликала користувачів не купувати токен і відкликати схвалення до подальшого повідомлення.
Зловмисники використовували прихований контроль проксі
У протоколі підкреслюється, що перевірена логіка смарт-контракту не є джерелом збою. USPD повідомила, що такі фірми, як Nethermind і Resonance, переглянули код, і внутрішні тести підтвердили очікувану поведінку. Натомість порушення сталося через те, що команда назвала атакою «CPIMP», яка є тактикою, націленою на вікно розгортання проксі-контракту.
https://twitter.com/uspd_io/status/1996711283446464598?s=46&t=nznXkss3debX8JIhNzHmzw
За даними USPD, зловмисник запустив процес ініціалізації 16 вересня за допомогою транзакції Multicall3. Зловмисник заскочив до завершення сценарію розгортання, отримав доступ адміністратора та вставив приховану реалізацію проксі.
Щоб зберегти зловмисне налаштування прихованим від користувачів, аудиторів і навіть Etherscan, ця тіньова версія перенаправляла виклики до перевіреного контракту.
Камуфляж спрацював, оскільки зловмисник маніпулював даними подій і підробляв слоти для зберігання, щоб дослідники блоків відображали законну реалізацію. Це дозволило зловмиснику отримати повний контроль протягом кількох місяців, поки вони не оновили проксі та не виконали подію карбування, яка виснажила протокол.
USPD повідомила, що співпрацює з правоохоронними органами, дослідниками безпеки та великими біржами, щоб відстежити кошти та зупинити подальший рух. Команда запропонувала зловмиснику можливість повернути 90% активів за стандартною структурою винагороди за помилки, заявивши, що розглядатиме цю дію як відновлення білої капелюхи, якщо кошти будуть повернуті.
Експлойт додає до місяця важкого
Інцидент USPD стався під час одного з наступних активних періодів для експлойтів цього року, а збитки протягом грудня вже перевищили 100 мільйонів доларів.
Upbit, одна з найбільших бірж Південної Кореї, раніше цього тижня підтвердила злом на 30 мільйонів доларів, пов’язаний з Lazarus Group. Слідчі кажуть, що зловмисники видавали себе за внутрішніх адміністраторів, щоб отримати доступ, продовжуючи схему, яка підштовхнула крадіжки, пов’язані з Lazarus, до понад 1 мільярда доларів цього року.
Yearn Finance також зіткнувся з експлойтом на початку грудня, який вплинув на його застарілий контракт на токени yETH. Зловмисники скористалися помилкою, яка дозволяла необмежений карбування, виробництво трильйонів токенів за одну транзакцію та зливання вартості близько 9 мільйонів доларів.
Серія інцидентів підкреслює зростаючу складність атак, зосереджених на DeFi, особливо тих, які націлені на проксі-контракти, ключі адміністратора та застарілі системи. Команди безпеки кажуть, що інтерес до децентралізованих інструментів багатосторонніх обчислень і надійних інфраструктур розгортання зростає, оскільки протоколи намагаються зменшити вплив одноточкових збоїв.