USPDのセキュリティ侵害の概要
USPDは、攻撃者が数ヶ月前にそのプロキシコントラクトを静かに掌握し、そのアクセスを利用して新しいトークンを発行し、資金を引き出した後、深刻なセキュリティ侵害に直面しています。USPDは12月5日にこの事件を公表し、攻撃者が約9800万USPDを発行し、約232 stETH(約100万ドル相当)を引き出すことを可能にしたと述べました。
ユーザーへの警告とプロトコルの説明
チームはユーザーにトークンを購入しないよう呼びかけ、さらなる通知があるまで承認を取り消すように促しました。プロトコルは、監査済みのスマートコントラクトのロジックが失敗の原因ではないと強調しています。USPDは、NethermindやResonanceなどの企業がコードをレビューし、内部テストが期待される動作を確認したと述べています。
「侵害はチームが「CPIMP」攻撃と呼ぶもので、プロキシコントラクトのデプロイメントウィンドウを狙った戦術から来たものでした。」
攻撃の手法と影響
攻撃者は9月16日にMulticall3トランザクションを使用して初期化プロセスを先取りしました。攻撃者はデプロイメントスクリプトが完了する前に介入し、管理者アクセスを取得し、隠れたプロキシ実装を挿入しました。悪意のある設定をユーザー、監査人、さらにはEtherscanから隠すために、その影のバージョンは監査済みのコントラクトへの呼び出しを転送しました。このカモフラージュにより、攻撃者はイベントデータを操作し、ストレージスロットを偽装しました。その結果、ブロックエクスプローラーは正当な実装を表示するように機能しました。
これにより、攻撃者は数ヶ月間完全に制御を維持し、プロキシをアップグレードし、プロトコルを引き出す発行イベントを実行しました。USPDは、資金を追跡し、さらなる動きを止めるために、法執行機関、セキュリティ研究者、大手取引所と協力していると述べています。
攻撃者への対応と業界の状況
チームは、攻撃者に対して標準的なバグバウンティ構造の下で資産の90%を返還する機会を提供し、資金が返送されればその行動をホワイトハットの回収として扱うと述べています。USPDの事件は、今年の別の活発な攻撃期間中に発生しており、12月の損失はすでに1億ドルを超えています。
韓国の大手取引所の一つであるUpbitは、今週初めにLazarus Groupに関連する3000万ドルの侵害を確認しました。調査官によると、攻撃者は内部管理者を装ってアクセスを取得し、Lazarusに関連する盗難が今年1億ドルを超えるパターンを続けています。
Yearn Financeも、レガシーなyETHトークンコントラクトに影響を与える12月初旬の攻撃に直面しました。攻撃者は無制限の発行を可能にするバグを利用し、1回のトランザクションで数兆のトークンを生成し、約900万ドルの価値を引き出しました。
セキュリティの未来と対策
この一連の事件は、特にプロキシコントラクト、管理者キー、レガシーシステムを狙ったDeFiに特化した攻撃の巧妙さの高まりを浮き彫りにしています。セキュリティチームは、プロトコルが単一障害点の影響を減らすことを目指しているため、分散型マルチパーティ計算ツールや強化されたデプロイメントフレームワークへの関心が高まっていると述べています。
