USPD 프로토콜 해킹 사건 개요
USPD는 공격자가 몇 달 전 조용히 프록시 계약을 장악한 후, 그 접근 권한을 이용해 새로운 토큰을 발행하고 자금을 빼내는 심각한 보안 침해에 직면하고 있습니다. USPD는 12월 5일 이 사건을 공개하며, 해킹으로 인해 약 9800만 USPD가 발행되고 약 232 stETH가 제거되어 약 100만 달러의 손실이 발생했다고 밝혔습니다.
사용자 권장 사항 및 프로토콜의 입장
팀은 사용자에게 토큰 구매를 자제하고 추가 공지가 있을 때까지 승인 취소를 권장했습니다. 프로토콜은 감사된 스마트 계약 로직이 실패의 원인이 아니라고 강조했습니다. USPD는 Nethermind와 Resonance와 같은 기업들이 코드를 검토했으며, 내부 테스트에서 예상된 동작이 확인되었다고 전했습니다.
공격 방식 및 피해 상황
침해는 팀이 “CPIMP” 공격으로 설명한 것으로, 이는 프록시 계약의 배포 창을 목표로 하는 전술입니다.
USPD에 따르면, 공격자는 9월 16일 Multicall3 거래를 사용하여 초기화 프로세스를 앞질렀습니다. 공격자는 배포 스크립트가 완료되기 전에 개입하여 관리자 접근 권한을 확보하고 숨겨진 프록시 구현을 삽입했습니다. 악의적인 설정을 사용자, 감사자, 심지어 Etherscan으로부터 숨기기 위해, 그 그림자 버전은 감사된 계약으로 호출을 전달했습니다.
법 집행 기관과의 협력 및 자산 반환 제안
USPD는 자금을 추적하고 추가 이동을 중단하기 위해 법 집행 기관, 보안 연구자 및 주요 거래소와 협력하고 있다고 밝혔습니다. 팀은 공격자에게 표준 버그 바운티 구조에 따라 자산의 90%를 반환할 기회를 제공하며, 자금이 반환될 경우 이를 화이트햇 복구로 간주하겠다고 전했습니다.
올해 해킹 사건의 증가 추세
USPD 사건은 올해 해킹이 활발한 또 다른 시기에 발생했으며, 12월의 손실은 이미 1억 달러를 초과했습니다. 한국의 최대 거래소 중 하나인 Upbit는 이번 주 초 Lazarus Group과 관련된 3000만 달러의 해킹 피해를 확인했습니다. 조사자들은 공격자들이 내부 관리자처럼 가장하여 접근 권한을 얻었다고 전하며, 이는 올해 Lazarus와 관련된 도난 사건이 10억 달러를 초과하는 패턴을 이어가고 있습니다.
DeFi 공격의 복잡성 증가
Yearn Finance 또한 12월 초에 그들의 레거시 yETH 토큰 계약에 영향을 미치는 해킹을 겪었습니다. 공격자들은 무제한 발행을 허용하는 버그를 이용해 한 거래에서 수조 개의 토큰을 생성하고 약 900만 달러의 가치를 유출했습니다. 이러한 사건의 연속은 프록시 계약, 관리자 키 및 레거시 시스템을 목표로 하는 DeFi 중심 공격의 복잡성이 증가하고 있음을 강조합니다.
보안 팀은 프로토콜이 단일 실패 지점의 영향을 줄이기 위해 탈중앙화 다자간 계산 도구와 강화된 배포 프레임워크에 대한 관심이 높아지고 있다고 전했습니다.
