Crypto Prices

Hajautettu stablecoin-protokolla USPD kärsi 1 miljoonan dollarin hyökkäyksestä

5 joulukuun, 2025

USPD:n Tietoturvaloukkaus

USPD kohtasi vakavan tietoturvaloukkauksen, kun hyökkääjä sai hiljattain hallintaansa sen proxy-sopimuksen kuukausia sitten ja käytti tätä pääsyä uusien tokenien minttaamiseen sekä varojen tyhjentämiseen. USPD paljasti tapauksen 5. joulukuuta, ilmoittaen, että hyökkäys mahdollisti hyökkääjän minttaavan noin 98 miljoonaa USPD-tokenia ja poistavan noin 232 stETH:tä, joiden arvo on noin 1 miljoona dollaria. Tiimi kehotti käyttäjiä olemaan ostamatta tokenia ja peruuttamaan hyväksynnät, kunnes toisin ilmoitetaan.

Hyökkäyksen Yksityiskohdat

Protokolla korosti, että sen auditoitu älysopimuslogiikka ei ollut epäonnistumisen lähde. USPD:n mukaan yritykset, kuten Nethermind ja Resonance, olivat tarkastaneet koodin, ja sisäiset testit vahvistivat odotetun käyttäytymisen. Tietoturvaloukkaus johtui kuitenkin siitä, mitä tiimi kuvasi ”CPIMP”-hyökkäykseksi, joka on taktiikka, joka kohdistuu proxy-sopimuksen käyttöönottoikkunaan.

HÄTÄTURVALLISUUSILMOITUS: USPD-PROTOKOLLAN HYÖKKÄYS 1/ Olemme vahvistaneet kriittisen hyökkäyksen USPD-protokollassa, joka on johtanut luvattomaan minttaamiseen ja likviditeetin tyhjentämiseen. ÄLÄ OSTA USPD:tä. Peruuta kaikki hyväksynnät välittömästi.

USPD:n mukaan hyökkääjä eteni käyttöönotto-prosessin ohi 16. syyskuuta käyttäen Multicall3-transaktiota. Hyökkääjä hyppäsi mukaan ennen käyttöönotto-skriptin valmistumista, sai hallintaansa pääsyn ja lisäsi piilotetun proxy-implementoinnin. Pidäkseen haitallisen asetelman piilossa käyttäjiltä, tarkastajilta ja jopa Etherscanilta, tämä varjoversio välitti kutsuja auditoidulle sopimukselle. Naamio toimi, koska hyökkääjä manipuloi tapahtumatietoja ja huijasi tallennustiloja niin, että lohkoketjun tutkijat näyttivät laillisen toteutuksen. Tämä jätti hyökkääjän täyteen hallintaan kuukausiksi, kunnes he päivittivät proxy-sopimuksen ja suorittivat minttaustapahtuman, joka tyhjensi protokollan.

Toimenpiteet ja Yhteistyö

USPD ilmoitti tekevänsä yhteistyötä lainvalvontaviranomaisten, tietoturvatutkijoiden ja suurten pörssien kanssa jäljittääkseen varoja ja estääkseen lisäliikkeitä. Tiimi on tarjonnut hyökkääjälle mahdollisuuden palauttaa 90 % varoista standardin bugi-palkkiorakenteen mukaan, sanoen, että se käsittelisi toimintaa valkoisen hatun palautuksena, jos varat lähetetään takaisin.

USPD-tapaus saapuu yhden toisen aktiivisen hyökkäysjakson aikana tänä vuonna, ja joulukuun menetykset ovat jo ylittäneet 100 miljoonaa dollaria. Upbit, yksi Etelä-Korean suurimmista pörsseistä, vahvisti aiemmin tällä viikolla 30 miljoonan dollarin loukkauksen, joka liittyi Lazarus Groupiin. Tutkijat sanovat, että hyökkääjät esiintyivät sisäisinä ylläpitäjinä saadakseen pääsyn, jatkaen kaavaa, joka on nostanut Lazarus-yhteyksien varastuksia yli 1 miljardiin dollariin tänä vuonna.

Yearn Finance kohtasi myös varhaisen joulukuun hyökkäyksen, joka vaikutti sen perinteiseen yETH-token-sopimukseen. Hyökkääjät käyttivät bugia, joka mahdollisti rajattoman minttaamisen, tuottaen triljoonia tokenia yhdessä transaktiossa ja tyhjentäen noin 9 miljoonan dollarin arvon. Tapahtumien sarja korostaa DeFi-keskeisten hyökkäysten kasvavaa monimutkaisuutta, erityisesti niitä, jotka kohdistuvat proxy-sopimuksiin, hallintavälineisiin ja perinteisiin järjestelmiin.

Turvatiimit sanovat, että kiinnostus hajautettuihin monipuolisiin laskentatyökaluihin ja vahvistettuihin käyttöönotto-ympäristöihin kasvaa, kun protokollat pyrkivät vähentämään yksittäisten vikapisteiden vaikutusta.

Uusimmat käyttäjältä Blog

Circle voittaa oikeuskiistan Heka Funds’in USDC-myntti- ja lunastustilin osalta

Circle Voittaa Välimiesmenettelyssä Circle on saavuttanut voiton välimiesmenettelyssä Bostonin liittovaltion tuomioistuimessa. Oikeudelliset asiakirjat paljastavat syyt, miksi stablecoinin liikkeeseenlaskija keskeytti Heka Funds’in USDC-myntti- ja lunastamispalvelut epäillyn markkinamanipulaation vuoksi, joka liittyi Tetheriin. Välimiespäätös ja

Revolut saa VARA-hyväksynnän Yhdistyneiden arabiemiirikuntien virtuaalivarapalveluille

Revolut saa hyväksynnän Dubain virtuaalivarojen sääntelyviranomaiselta Revolut on saanut periaatteellisen hyväksynnän Dubain virtuaalivarojen sääntelyviranomaiselta (VARA) laajentaakseen säänneltyä kryptoliiketoimintaansa Yhdistyneissä arabiemiirikunnissa. Tämä hyväksyntä merkitsee uutta sääntelyvirstanpylvästä yhtiön globaalille digitaalisten varojen strategialle. Hyväksynnän merkitys

Japani hyväksyi lain, joka tunnustaa kryptovaluutat rahoitustuotteiksi

Japanin rahoituslakimuutokset Japani on säätänyt merkittäviä muutoksia rahoituslakeihinsa, jotka luokittelevat kryptovaluutat rahoitustuotteiksi. Tämä avaa mahdollisuuksia alhaisemmille kryptoveroille, kotimaisille pörssinoteeratuilla rahastoille (ETF) sekä tiukemmalle markkinavalvonnalle. Japanin julkisen yleisradioyhtiön NHK:n mukaan neuvoston alahuone hyväksyi

Fed-puheenjohtaja Kevin Warsh vastustaa kryptobailouteja

Federal Reserve ja digitaalinen omaisuus Federal Reserve -puheenjohtaja Kevin Warsh on vetänyt tiukan rajan keskuspankin roolille digitaalisten omaisuuserien sektorilla. Äskettäisessä kongressikuulemisessa hän kertoi sijoittajille, että Fedillä ei ole aikomusta pelastaa kryptovaluuttayrityksiä talouskriisin