Violazione della Sicurezza del Protocollo USPD
Il protocollo USPD sta affrontando una grave violazione della sicurezza dopo che un attaccante ha silenziosamente preso il controllo del suo contratto proxy mesi fa, utilizzando quell’accesso per coniare nuovi token e drenare fondi. USPD ha reso noto l’incidente il 5 dicembre, affermando che l’exploit ha permesso a un attaccante di coniare circa 98 milioni di USPD e di rimuovere circa 232 stETH, del valore di circa 1 milione di dollari. Il team ha esortato gli utenti a non acquistare il token e a revocare le approvazioni fino a nuovo avviso.
Dettagli dell’Incidente
Il protocollo ha sottolineato che la logica del suo contratto intelligente, auditato, non era la fonte del fallimento. USPD ha dichiarato che aziende come Nethermind e Resonance avevano esaminato il codice e i test interni avevano confermato il comportamento atteso. Invece, la violazione è derivata da quello che il team ha descritto come un attacco “CPIMP”, una tattica che mira alla finestra di distribuzione di un contratto proxy.
ALLERTA DI SICUREZZA URGENTE: ESPLOIT DEL PROTOCOLLO USPD
1/ Abbiamo confermato un exploit critico del protocollo USPD che ha portato a coniazioni non autorizzate e drenaggio di liquidità. Si prega di NON acquistare USPD e di revocare tutte le approvazioni immediatamente.
Secondo USPD, l’attaccante ha anticipato il processo di inizializzazione il 16 settembre utilizzando una transazione Multicall3. L’attaccante è intervenuto prima che lo script di distribuzione fosse completato, ottenendo l’accesso da amministratore e inserendo un’implementazione proxy nascosta. Per mantenere nascosta la configurazione malevola da utenti, revisori e persino Etherscan, quella versione ombra inoltrava le chiamate al contratto auditato.
Il camuffamento ha funzionato perché l’attaccante ha manipolato i dati degli eventi e ha falsificato gli slot di archiviazione in modo che gli esploratori di blocchi mostrassero l’implementazione legittima. Questo ha lasciato l’attaccante in pieno controllo per mesi, fino a quando non ha aggiornato il proxy ed eseguito l’evento di coniazione che ha drenato il protocollo.
Collaborazione e Risposta
USPD ha dichiarato di stare collaborando con le forze dell’ordine, ricercatori di sicurezza e grandi scambi per rintracciare i fondi e fermare ulteriori movimenti. Il team ha offerto all’attaccante la possibilità di restituire il 90% degli asset sotto una struttura standard di bug bounty, affermando che avrebbe trattato l’azione come un recupero whitehat se i fondi fossero stati restituiti.
Contesto degli Exploit nel Settore
L’incidente USPD arriva durante uno dei periodi più attivi per gli exploit di quest’anno, con perdite già superiori a 100 milioni di dollari a dicembre. Upbit, uno dei più grandi scambi della Corea del Sud, ha confermato una violazione da 30 milioni di dollari legata al Lazarus Group all’inizio di questa settimana. Gli investigatori affermano che gli attaccanti si sono spacciati per amministratori interni per ottenere accesso, continuando un modello che ha portato i furti legati al Lazarus a superare 1 miliardo di dollari quest’anno.
Yearn Finance ha anche affrontato un exploit all’inizio di dicembre che ha colpito il suo contratto token legacy yETH. Gli attaccanti hanno utilizzato un bug che consentiva una coniazione illimitata, producendo trilioni di token in una transazione e drenando circa 9 milioni di dollari di valore. La serie di incidenti evidenzia la crescente sofisticazione negli attacchi focalizzati su DeFi, in particolare quelli che prendono di mira contratti proxy, chiavi amministrative e sistemi legacy.
I team di sicurezza affermano che l’interesse sta aumentando attorno agli strumenti di calcolo multi-party decentralizzati e ai framework di distribuzione rinforzati mentre i protocolli cercano di ridurre l’impatto dei fallimenti a punto singolo.
