Violation de sécurité du protocole USPD
Le protocole USPD fait face à une grave violation de sécurité après qu’un attaquant a discrètement pris le contrôle de son contrat proxy il y a plusieurs mois. Cet accès a été utilisé pour frapper de nouveaux tokens et vider des fonds. USPD a divulgué l’incident le 5 décembre, déclarant que l’exploitation a permis à l’attaquant de frapper environ 98 millions de tokens USPD et de retirer environ 232 stETH, d’une valeur d’environ 1 million de dollars.
Alerte de sécurité urgente
ALERTE DE SÉCURITÉ URGENTE : EXPLOIT DU PROTOCOLE USPD
1/ Nous avons confirmé une exploitation critique du protocole USPD entraînant un minting non autorisé et un drainage de liquidités. Veuillez NE PAS acheter USPD. Révoquez toutes les approbations immédiatement.
Selon USPD, l’attaquant a anticipé le processus d’initialisation le 16 septembre en utilisant une transaction Multicall3. Il est intervenu avant que le script de déploiement ne soit terminé, a obtenu l’accès administrateur et a glissé une implémentation proxy cachée. Pour dissimuler cette configuration malveillante aux utilisateurs, aux auditeurs et même à Etherscan, cette version fantôme a transféré les appels au contrat audité.
Le camouflage a fonctionné car l’attaquant a manipulé les données d’événements et a usurpé des emplacements de stockage, permettant aux explorateurs de blocs d’afficher l’implémentation légitime. Cela a laissé l’attaquant en plein contrôle pendant des mois, jusqu’à ce qu’il mette à jour le proxy et exécute l’événement de minting qui a drainé le protocole.
USPD a déclaré qu’il travaillait avec les forces de l’ordre, des chercheurs en sécurité et des échanges majeurs pour tracer les fonds et stopper tout mouvement supplémentaire. L’équipe a offert à l’attaquant une chance de retourner 90 % des actifs dans le cadre d’une structure de récompense standard pour les bugs, déclarant qu’elle considérerait l’action comme une récupération de whitehat si les fonds étaient renvoyés.
Contexte des exploits récents
L’incident USPD survient pendant l’une des périodes les plus actives pour les exploits cette année, avec des pertes en décembre dépassant déjà 100 millions de dollars. Upbit, l’un des plus grands échanges de Corée du Sud, a confirmé une violation de 30 millions de dollars liée au groupe Lazarus plus tôt cette semaine. Les enquêteurs affirment que les attaquants se sont fait passer pour des administrateurs internes afin d’obtenir l’accès, poursuivant un schéma qui a porté les vols liés à Lazarus au-dessus de 1 milliard de dollars cette année.
Yearn Finance a également été victime d’un exploit début décembre affectant son contrat de token yETH hérité. Les attaquants ont utilisé un bug permettant un minting illimité, produisant des trillions de tokens en une seule transaction et drainant environ 9 millions de dollars en valeur.
Cette série d’incidents met en évidence la sophistication croissante des attaques axées sur la DeFi, en particulier celles qui ciblent les contrats proxy, les clés administratives et les systèmes hérités. Les équipes de sécurité affirment que l’intérêt pour les outils de calcul multipartite décentralisés et les cadres de déploiement renforcés augmente, alors que les protocoles cherchent à réduire l’impact des défaillances à point unique.
