Alvorligt Sikkerhedsbrud i USPD Protokollen
USPD står over for et alvorligt sikkerhedsbrud, efter at en angriber stille og roligt fik kontrol over sin proxy-kontrakt for flere måneder siden og brugte denne adgang til at præge nye tokens og tømme midler. USPD offentliggjorde hændelsen den 5. december og oplyste, at udnyttelsen gjorde det muligt for en angriber at præge cirka 98 millioner USPD og fjerne omkring 232 stETH, der var værd omkring $1 million. Teamet opfordrede brugerne til ikke at købe token og til at tilbagekalde godkendelser indtil videre.
Detaljer om Angrebet
Protokollen understregede, at dens reviderede smart kontraktlogik ikke var kilden til fejlen. USPD sagde, at firmaer som Nethermind og Resonance havde gennemgået koden, og interne tests bekræftede den forventede adfærd. I stedet kom bruddet fra det, som teamet beskrev som et “CPIMP”-angreb, en taktik der målretter mod implementeringsvinduet for en proxy-kontrakt.
AKUT SIKKERHEDSADVARSEL: USPD PROTOKOL UDNYTTET. Vi har bekræftet et kritisk udnyttelse af USPD-protokollen, der resulterer i uautoriseret præging og likviditetstømning. Venligst KØB IKKE USPD. Tilbagekald alle godkendelser straks.
Ifølge USPD sprang angriberen foran initialiseringsprocessen den 16. september ved at bruge en Multicall3-transaktion. Angriberen sprang ind, før implementeringsscriptet var færdigt, greb admin-adgang og indsatte en skjult proxy-implementering. For at holde den ondsindede opsætning skjult for brugere, revisorer og endda Etherscan, videresendte den skyggeversion kald til den reviderede kontrakt. Kamuflagen fungerede, fordi angriberen manipulerede begivenhedsdata og spoofede lagringspladser, så blokudforskere viste den legitime implementering. Dette efterlod angriberen i fuld kontrol i flere måneder, indtil de opgraderede proxyen og udførte prægebegivenheden, der tømte protokollen.
Reaktion og Fremtidige Tiltag
USPD sagde, at de arbejder sammen med retshåndhævelse, sikkerhedsforskere og store børser for at spore midler og stoppe yderligere bevægelser. Teamet har tilbudt angriberen en chance for at returnere 90% af aktiverne under en standard bug-bounty-struktur og sagde, at de ville behandle handlingen som en whitehat-genopretning, hvis midlerne blev sendt tilbage.
Baggrund for Sikkerhedsbrud
USPD-hændelsen kommer i en af de aktive perioder for udnyttelser i år, med tab i december allerede over $100 millioner. Upbit, en af Sydkoreas største børser, bekræftede tidligere på ugen et $30 millioner brud knyttet til Lazarus Group. Efterforskere siger, at angriberne udgav sig for at være interne administratorer for at få adgang, hvilket fortsætter et mønster, der har presset Lazarus-relaterede tyverier over $1 milliard i år. Yearn Finance stod også over for en tidlig december-udnyttelse, der påvirkede dens legacy yETH-tokenkontrakt. Angribere brugte en fejl, der tillod ubegribelig præging, hvilket producerede billioner af tokens i én transaktion og tømte omkring $9 millioner i værdi.
Rækken af hændelser fremhæver den stigende sofistikering i DeFi-fokuserede angreb, især dem der målretter mod proxy-kontrakter, admin-nøgler og legacy-systemer. Sikkerhedsteams siger, at interessen for decentraliserede multi-part computation værktøjer og hærdede implementeringsrammer stiger, da protokoller søger at reducere virkningen af enkeltpunktfejl.
