USPD协议漏洞概述
USPD协议正面临严重的安全漏洞,攻击者在几个月前悄然控制了其代理合约,并利用该访问权限铸造新代币并抽走资金。USPD在12月5日披露了这一事件,称该漏洞使攻击者铸造了约9800万USPD,并提取了约232个stETH,价值约100万美元。团队敦促用户不要购买该代币,并在进一步通知之前撤销所有授权。
该协议强调,其经过审计的智能合约逻辑并不是失败的根源。USPD表示,Nethermind和Resonance等公司已对代码进行了审查,内部测试确认了预期行为。相反,漏洞源于团队所描述的“CPIMP”攻击,这是一种针对代理合约部署窗口的策略。
紧急安全警报
我们确认USPD协议发生了严重漏洞,导致未经授权的铸币和流动性被抽走。请立即不要购买USPD,并撤销所有授权。
根据USPD的说法,攻击者在9月16日使用Multicall3交易抢先进行了初始化过程。攻击者在部署脚本完成之前介入,获取了管理员访问权限,并插入了一个隐藏的代理实现。为了让恶意设置对用户、审计人员甚至Etherscan保持隐蔽,该影子版本将调用转发到经过审计的合约。
伪装成功的原因在于攻击者操控了事件数据并伪造了存储槽,使区块浏览器显示合法的实现。这使得攻击者在几个月内完全控制了该合约,直到他们升级代理并执行了铸币事件,抽走了协议的资金。
后续行动与行业影响
USPD表示,正在与执法部门、安全研究人员和主要交易所合作,追踪资金并阻止进一步的转移。团队已向攻击者提供了在标准漏洞赏金结构下归还90%资产的机会,表示如果资金被退回,将视为白帽恢复。
USPD事件发生在今年另一个活跃的漏洞时期,12月的损失已超过1亿美元。韩国最大的交易所之一Upbit本周确认与Lazarus Group有关的3000万美元漏洞。调查人员表示,攻击者伪装成内部管理员以获取访问权限,继续了Lazarus相关盗窃超过10亿美元的模式。
Yearn Finance也在12月初遭遇了影响其遗留yETH代币合约的漏洞。攻击者利用一个允许无限铸造的漏洞,在一次交易中铸造了数万亿个代币,抽走了约900万美元的价值。这一系列事件突显了针对DeFi的攻击日益复杂化,特别是那些针对代理合约、管理员密钥和遗留系统的攻击。
安全团队表示,随着协议寻求减少单点故障的影响,去中心化多方计算工具和强化部署框架的兴趣正在上升。
