Incidente de Seguridad en USPD
USPD enfrenta una grave violación de seguridad después de que un atacante obtuviera silenciosamente el control de su contrato proxy hace meses y utilizara ese acceso para acuñar nuevos tokens y drenar fondos. USPD divulgó el incidente el 5 de diciembre, informando que el exploit permitió a un atacante acuñar aproximadamente 98 millones de USPD y retirar alrededor de 232 stETH, lo que equivale a aproximadamente $1 millón.
El equipo instó a los usuarios a no comprar el token y a revocar las aprobaciones hasta nuevo aviso. El protocolo enfatizó que la lógica de su contrato inteligente auditado no fue la fuente de la falla. USPD indicó que empresas como Nethermind y Resonance habían revisado el código, y las pruebas internas confirmaron el comportamiento esperado. En cambio, la violación provino de lo que el equipo describió como un ataque “CPIMP”, que es una táctica que apunta a la ventana de implementación de un contrato proxy.
ALERTA DE SEGURIDAD URGENTE: EXPLOIT DEL PROTOCOLO USPD
1/ Hemos confirmado un exploit crítico del protocolo USPD que resulta en acuñación no autorizada y drenaje de liquidez. Por favor, NO compre USPD. Revocar todas las aprobaciones de inmediato.
Detalles del Ataque
Según USPD, el atacante adelantó el proceso de inicialización el 16 de septiembre utilizando una transacción Multicall3. El atacante intervino antes de que el script de implementación terminara, obtuvo acceso de administrador y deslizó una implementación proxy oculta. Para mantener la configuración maliciosa oculta de los usuarios, auditores e incluso Etherscan, esa versión sombra reenvió llamadas al contrato auditado.
El camuflaje funcionó porque el atacante manipuló los datos de eventos y falsificó los espacios de almacenamiento para que los exploradores de bloques mostraran la implementación legítima. Esto dejó al atacante en control total durante meses, hasta que actualizó el proxy y ejecutó el evento de acuñación que drenó el protocolo.
Respuesta y Consecuencias
USPD informó que está trabajando con las fuerzas del orden, investigadores de seguridad y grandes intercambios para rastrear los fondos y detener más movimientos. El equipo ha ofrecido al atacante la oportunidad de devolver el 90% de los activos bajo una estructura estándar de recompensas por errores, indicando que trataría la acción como una recuperación de whitehat si los fondos son devueltos.
Contexto del Incidente
El incidente de USPD ocurre durante uno de los períodos más activos para exploits este año, con pérdidas en diciembre que ya superan los $100 millones. Upbit, uno de los intercambios más grandes de Corea del Sur, confirmó una violación de $30 millones vinculada al Lazarus Group a principios de esta semana. Los investigadores indican que los atacantes se hicieron pasar por administradores internos para obtener acceso, continuando un patrón que ha llevado los robos vinculados a Lazarus por encima de $1 mil millones este año.
Yearn Finance también enfrentó un exploit a principios de diciembre que afectó su contrato de token andETH legado. Los atacantes utilizaron un error que permitía acuñación ilimitada, produciendo billones de tokens en una transacción y drenando alrededor de $9 millones en valor.
Esta serie de incidentes destaca la creciente sofisticación en los ataques enfocados en DeFi, particularmente aquellos que apuntan a contratos proxy, claves de administrador y sistemas heredados. Los equipos de seguridad indican que el interés está aumentando en torno a herramientas de computación descentralizada multiparte y marcos de implementación endurecidos, a medida que los protocolos buscan reducir el impacto de fallas de un solo punto.
