Insiden Keamanan Protokol USPD
Protokol USPD mengalami pelanggaran keamanan yang serius setelah seorang penyerang berhasil menguasai kontrak proksinya beberapa bulan lalu. Dengan akses tersebut, penyerang mencetak token baru dan menguras dana yang ada. Insiden ini diungkapkan oleh USPD pada 5 Desember, yang menyatakan bahwa eksploitasi tersebut memungkinkan penyerang untuk mencetak sekitar 98 juta USPD dan menguras sekitar 232 stETH, yang bernilai sekitar $1 juta.
Tim USPD mendesak pengguna untuk tidak membeli token dan segera mencabut persetujuan hingga pemberitahuan lebih lanjut. Protokol ini menekankan bahwa logika kontrak pintar yang telah diaudit bukanlah penyebab kegagalan. USPD menyatakan bahwa perusahaan seperti Nethermind dan Resonance telah meninjau kode tersebut, dan pengujian internal mengonfirmasi perilaku yang diharapkan. Sebaliknya, pelanggaran ini berasal dari apa yang dijelaskan tim sebagai serangan “CPIMP”, yaitu taktik yang menargetkan jendela penyebaran kontrak proksi.
PERINGATAN KEAMANAN DARURAT: EKSPLOIT PROTOKOL USPD
1/ Kami telah mengonfirmasi eksploitasi kritis dari protokol USPD yang mengakibatkan pencetakan tidak sah dan pengurasan likuiditas. Harap JANGAN membeli USPD. Cabut semua persetujuan segera.
Menurut USPD, penyerang mendahului proses inisialisasi pada 16 September dengan menggunakan transaksi Multicall3. Penyerang masuk sebelum skrip penyebaran selesai, mengambil akses admin, dan menyisipkan implementasi proksi tersembunyi. Untuk menjaga pengaturan jahat tersebut tetap tersembunyi dari pengguna, auditor, dan bahkan Etherscan, versi bayangan itu meneruskan panggilan ke kontrak yang telah diaudit. Kamuflase ini berhasil karena penyerang memanipulasi data acara dan menyamarkan slot penyimpanan sehingga penjelajah blok menampilkan implementasi yang sah. Hal ini membuat penyerang tetap dalam kendali penuh selama berbulan-bulan hingga mereka memperbarui proksi dan mengeksekusi acara pencetakan yang menguras protokol.
USPD menyatakan bahwa mereka bekerja sama dengan penegak hukum, peneliti keamanan, dan bursa besar untuk melacak dana dan menghentikan pergerakan lebih lanjut. Tim tersebut telah menawarkan kepada penyerang kesempatan untuk mengembalikan 90% aset di bawah struktur bug bounty standar, dengan harapan bahwa tindakan tersebut akan diperlakukan sebagai pemulihan whitehat jika dana dikembalikan.
Tren Eksploitasi di DeFi
Insiden USPD terjadi pada salah satu periode aktif lainnya untuk eksploitasi tahun ini, dengan kerugian di bulan Desember sudah melampaui $100 juta. Upbit, salah satu bursa terbesar di Korea Selatan, mengonfirmasi pelanggaran senilai $30 juta yang terkait dengan Lazarus Group awal pekan ini. Para penyelidik mengatakan bahwa para penyerang berpura-pura sebagai administrator internal untuk mendapatkan akses, melanjutkan pola yang telah menyebabkan pencurian terkait Lazarus mencapai lebih dari $1 miliar tahun ini.
Yearn Finance juga mengalami eksploitasi awal Desember yang mempengaruhi kontrak token yETH warisannya. Para penyerang memanfaatkan bug yang memungkinkan pencetakan tanpa batas, menghasilkan triliunan token dalam satu transaksi dan menguras sekitar $9 juta dalam nilai. Rangkaian insiden ini menyoroti meningkatnya kecanggihan dalam serangan yang berfokus pada DeFi, terutama yang menargetkan kontrak proksi, kunci admin, dan sistem warisan.
Tim keamanan menyatakan bahwa minat meningkat seputar alat komputasi multi-pihak terdesentralisasi dan kerangka penyebaran yang diperkuat saat protokol berusaha mengurangi dampak dari kegagalan titik tunggal.
