USPD Sikkerhetsbrudd
USPD står overfor et alvorlig sikkerhetsbrudd etter at en angriper i all stillhet fikk kontroll over sin proxy-kontrakt for flere måneder siden. Ved å utnytte denne tilgangen, kunne angriperen mynte nye tokens og tømme midler. USPD avslørte hendelsen 5. desember og opplyste at utnyttelsen tillot angriperen å mynte omtrent 98 millioner USPD og fjerne omtrent 232 stETH, verdt rundt 1 million dollar. Teamet oppfordret brukere til ikke å kjøpe tokenet og til å tilbakekalle godkjenninger inntil videre. Protokollen understreket at logikken i deres reviderte smarte kontrakt ikke var kilden til feilen. USPD opplyste at selskaper som Nethermind og Resonance hadde gjennomgått koden, og interne tester bekreftet forventet oppførsel. Bruddet kom derimot fra det teamet beskrev som et «CPIMP»-angrep, en taktikk som retter seg mot distribusjonsvinduet til en proxy-kontrakt.
AKUTT SIKKERHETSADVARSEL: USPD PROTOKOLL UTNYTTET
1/ Vi har bekreftet et kritisk utnyttelse av USPD-protokollen som resulterer i uautorisert mynting og likviditetstapping. Vennligst IKKE kjøp USPD. Tilbakekall alle godkjenninger umiddelbart.
Ifølge USPD startet angriperen initieringsprosessen 16. september ved å bruke en Multicall3-transaksjon. Angriperen kom inn før distribusjonsskriptet var ferdig, fikk admin-tilgang og la inn en skjult proxy-implementering. For å holde den ondsinnede oppsettet skjult for brukere, revisorer og til og med Etherscan, videresendte den skyggeversjonen anrop til den reviderte kontrakten. Kamuflasjen fungerte fordi angriperen manipulerte hendelsesdata og spoofet lagringsplasser slik at blokkutforskere viste den legitime implementeringen. Dette etterlot angriperen i full kontroll i flere måneder inntil de oppgraderte proxyen og utførte myntingshendelsen som tappet protokollen.
USPD opplyste at de jobber med rettshåndhevelse, sikkerhetsforskere og store børser for å spore midler og stoppe videre bevegelser. Teamet har tilbudt angriperen en sjanse til å returnere 90 % av eiendelene under en standard bug-bounty-struktur, og sa at de ville behandle handlingen som en whitehat-gjenoppretting hvis midlene ble sendt tilbake.
Økende Trussel i DeFi
USPD-hendelsen skjer i en av de mest aktive periodene for utnyttelser i år, med tap over desember allerede over 100 millioner dollar. Upbit, en av Sør-Koreas største børser, bekreftet et brudd på 30 millioner dollar knyttet til Lazarus Group tidligere denne uken. Etterforskere sier at angriperne utga seg for interne administratorer for å få tilgang, og fortsatte et mønster som har presset tyverier knyttet til Lazarus over 1 milliard dollar i år. Yearn Finance opplevde også en tidlig desember-utnyttelse som påvirket sin legacy yETH-tokenkontrakt. Angripere utnyttet en feil som tillot ubegrenset mynting, og produserte billioner av tokens i én transaksjon, noe som tappet omtrent 9 millioner dollar i verdi.
Rekken av hendelser fremhever den økende sofistikasjonen i DeFi-fokuserte angrep, spesielt de som retter seg mot proxy-kontrakter, admin-nøkler og legacy-systemer. Sikkerhetsteam rapporterer om økt interesse for desentraliserte flerparti-beregningsverktøy og herdet distribusjonsrammer ettersom protokoller ser etter måter å redusere virkningen av enkeltpunktfeil.
