USPD:n Tietoturvaloukkaus
USPD kohtasi vakavan tietoturvaloukkauksen, kun hyökkääjä sai hiljattain hallintaansa sen proxy-sopimuksen kuukausia sitten ja käytti tätä pääsyä uusien tokenien minttaamiseen sekä varojen tyhjentämiseen. USPD paljasti tapauksen 5. joulukuuta, ilmoittaen, että hyökkäys mahdollisti hyökkääjän minttaavan noin 98 miljoonaa USPD-tokenia ja poistavan noin 232 stETH:tä, joiden arvo on noin 1 miljoona dollaria. Tiimi kehotti käyttäjiä olemaan ostamatta tokenia ja peruuttamaan hyväksynnät, kunnes toisin ilmoitetaan.
Hyökkäyksen Yksityiskohdat
Protokolla korosti, että sen auditoitu älysopimuslogiikka ei ollut epäonnistumisen lähde. USPD:n mukaan yritykset, kuten Nethermind ja Resonance, olivat tarkastaneet koodin, ja sisäiset testit vahvistivat odotetun käyttäytymisen. Tietoturvaloukkaus johtui kuitenkin siitä, mitä tiimi kuvasi ”CPIMP”-hyökkäykseksi, joka on taktiikka, joka kohdistuu proxy-sopimuksen käyttöönottoikkunaan.
HÄTÄTURVALLISUUSILMOITUS: USPD-PROTOKOLLAN HYÖKKÄYS 1/ Olemme vahvistaneet kriittisen hyökkäyksen USPD-protokollassa, joka on johtanut luvattomaan minttaamiseen ja likviditeetin tyhjentämiseen. ÄLÄ OSTA USPD:tä. Peruuta kaikki hyväksynnät välittömästi.
USPD:n mukaan hyökkääjä eteni käyttöönotto-prosessin ohi 16. syyskuuta käyttäen Multicall3-transaktiota. Hyökkääjä hyppäsi mukaan ennen käyttöönotto-skriptin valmistumista, sai hallintaansa pääsyn ja lisäsi piilotetun proxy-implementoinnin. Pidäkseen haitallisen asetelman piilossa käyttäjiltä, tarkastajilta ja jopa Etherscanilta, tämä varjoversio välitti kutsuja auditoidulle sopimukselle. Naamio toimi, koska hyökkääjä manipuloi tapahtumatietoja ja huijasi tallennustiloja niin, että lohkoketjun tutkijat näyttivät laillisen toteutuksen. Tämä jätti hyökkääjän täyteen hallintaan kuukausiksi, kunnes he päivittivät proxy-sopimuksen ja suorittivat minttaustapahtuman, joka tyhjensi protokollan.
Toimenpiteet ja Yhteistyö
USPD ilmoitti tekevänsä yhteistyötä lainvalvontaviranomaisten, tietoturvatutkijoiden ja suurten pörssien kanssa jäljittääkseen varoja ja estääkseen lisäliikkeitä. Tiimi on tarjonnut hyökkääjälle mahdollisuuden palauttaa 90 % varoista standardin bugi-palkkiorakenteen mukaan, sanoen, että se käsittelisi toimintaa valkoisen hatun palautuksena, jos varat lähetetään takaisin.
USPD-tapaus saapuu yhden toisen aktiivisen hyökkäysjakson aikana tänä vuonna, ja joulukuun menetykset ovat jo ylittäneet 100 miljoonaa dollaria. Upbit, yksi Etelä-Korean suurimmista pörsseistä, vahvisti aiemmin tällä viikolla 30 miljoonan dollarin loukkauksen, joka liittyi Lazarus Groupiin. Tutkijat sanovat, että hyökkääjät esiintyivät sisäisinä ylläpitäjinä saadakseen pääsyn, jatkaen kaavaa, joka on nostanut Lazarus-yhteyksien varastuksia yli 1 miljardiin dollariin tänä vuonna.
Yearn Finance kohtasi myös varhaisen joulukuun hyökkäyksen, joka vaikutti sen perinteiseen yETH-token-sopimukseen. Hyökkääjät käyttivät bugia, joka mahdollisti rajattoman minttaamisen, tuottaen triljoonia tokenia yhdessä transaktiossa ja tyhjentäen noin 9 miljoonan dollarin arvon. Tapahtumien sarja korostaa DeFi-keskeisten hyökkäysten kasvavaa monimutkaisuutta, erityisesti niitä, jotka kohdistuvat proxy-sopimuksiin, hallintavälineisiin ja perinteisiin järjestelmiin.
Turvatiimit sanovat, että kiinnostus hajautettuihin monipuolisiin laskentatyökaluihin ja vahvistettuihin käyttöönotto-ympäristöihin kasvaa, kun protokollat pyrkivät vähentämään yksittäisten vikapisteiden vaikutusta.
