Инцидент с протоколом USPD
Протокол USPD столкнулся с серьезным нарушением безопасности после того, как злоумышленник получил контроль над его прокси-контрактом несколько месяцев назад. Используя этот доступ, он создал новые токены и вывел средства. Инцидент был раскрыт 5 декабря, когда команда USPD сообщила, что уязвимость позволила злоумышленнику создать примерно 98 миллионов токенов USPD и вывести около 232 stETH, что эквивалентно примерно $1 миллиону. Команда призвала пользователей не покупать токен и отозвать разрешения до дальнейшего уведомления. Протокол подчеркнул, что логика его проверенного смарт-контракта не стала источником сбоя. USPD сообщил, что такие компании, как Nethermind и Resonance, проверили код, и внутренние тесты подтвердили ожидаемое поведение. Вместо этого нарушение произошло из-за атаки, которую команда охарактеризовала как «CPIMP», нацеленную на окно развертывания прокси-контракта.
СРОЧНОЕ УВЕДОМЛЕНИЕ О БЕЗОПАСНОСТИ:
1/ Мы подтвердили критическую уязвимость протокола USPD, в результате которой произошло несанкционированное создание токенов и вывод ликвидности. Пожалуйста, НЕ ПОКУПАЙТЕ USPD. Немедленно отозовите все разрешения.
Согласно USPD, злоумышленник опередил процесс инициализации 16 сентября, используя транзакцию Multicall3. Он вмешался до завершения скрипта развертывания, получил доступ администратора и внедрил скрытую реализацию прокси. Чтобы скрыть злонамеренную настройку от пользователей, аудиторов и даже Etherscan, эта теневая версия перенаправляла вызовы на проверенный контракт. Камуфляж сработал, так как злоумышленник манипулировал данными событий и подделывал слоты хранения, что позволяло блок-эксплорерам отображать законную реализацию. Это оставило злоумышленника под полным контролем в течение нескольких месяцев, пока он не обновил прокси и не выполнил событие создания токенов, которое опустошило протокол.
USPD сообщил, что работает с правоохранительными органами, исследователями безопасности и крупными биржами, чтобы отследить средства и остановить дальнейшие движения. Команда предложила злоумышленнику возможность вернуть 90% активов в рамках стандартной структуры вознаграждения за уязвимости, заявив, что будет рассматривать это действие как восстановление белого хакера, если средства будут возвращены.
Общая ситуация в DeFi
Инцидент с USPD происходит в один из активных периодов для атак в этом году, при этом потери в декабре уже превысили $100 миллионов. Upbit, одна из крупнейших бирж Южной Кореи, подтвердила утечку в $30 миллионов, связанную с группой Lazarus, ранее на этой неделе. Следователи сообщают, что злоумышленники выдавали себя за внутренних администраторов, чтобы получить доступ, продолжая шаблон, который привел к тому, что кражи, связанные с Lazarus, превысили $1 миллиард в этом году.
Yearn Finance также столкнулся с уязвимостью в начале декабря, затрагивающей его контракт токена yETH. Злоумышленники использовали ошибку, которая позволяла неограниченное создание токенов, производя триллионы токенов за одну транзакцию и выводя около $9 миллионов в эквиваленте.
Серия инцидентов подчеркивает растущую сложность атак, сосредоточенных на DeFi, особенно тех, которые нацелены на прокси-контракты, административные ключи и устаревшие системы. Команды безопасности сообщают, что интерес к децентрализованным инструментам многопартийных вычислений и усиленным развертывательным фреймворкам растет, поскольку протоколы стремятся уменьшить влияние точек единой ошибки.
