USPD Security Breach
Ang USPD ay nahaharap sa isang seryosong paglabag sa seguridad matapos na tahimik na makontrol ng isang umaatake ang proxy contract nito ilang buwan na ang nakalipas. Ginamit ng umaatake ang access na iyon upang mag-mint ng mga bagong token at ubusin ang mga pondo. Inanunsyo ng USPD ang insidente noong Disyembre 5, na nagsasabing ang pagsasamantala ay nagbigay-daan sa umaatake na mag-mint ng humigit-kumulang 98 milyong USPD at alisin ang halos 232 stETH, na nagkakahalaga ng humigit-kumulang $1 milyon. Hinimok ng koponan ang mga gumagamit na huwag bumili ng token at bawiin ang lahat ng pahintulot hanggang sa karagdagang abiso.
Details of the Exploit
Binibigyang-diin ng protocol na ang na-audit na lohika ng smart contract nito ay hindi ang pinagmulan ng pagkabigo. Ayon sa USPD, ang mga kumpanya tulad ng Nethermind at Resonance ay nag-review ng code, at ang mga panloob na pagsusuri ay nakumpirma ang inaasahang pag-uugali. Sa halip, ang paglabag ay nagmula sa tinawag ng koponan na “CPIMP” na pag-atake, na isang taktika na nagta-target sa deployment window ng isang proxy contract.
URGENT SECURITY ALERT: USPD PROTOCOL EXPLOIT 1/ Nakumpirma namin ang isang kritikal na pagsasamantala sa USPD protocol na nagresulta sa hindi awtorisadong pag-mint at pag-drain ng liquidity. Mangyaring HUWAG bumili ng USPD. Bawiin ang lahat ng pahintulot kaagad.
Ayon sa USPD, ang umaatake ay nag-front-run sa proseso ng inisyal na pagsasaayos noong Setyembre 16 gamit ang isang Multicall3 na transaksyon. Pumasok ang umaatake bago natapos ang deployment script, nakuha ang admin access, at nagpasok ng isang nakatagong proxy implementation. Upang mapanatiling nakatago ang masamang setup mula sa mga gumagamit, auditor, at kahit sa Etherscan, ang shadow version na iyon ay nag-forward ng mga tawag sa na-audit na kontrata. Gumana ang camouflage dahil ang umaatake ay nagmanipula ng event data at nag-spoof ng storage slots upang ipakita ng mga block explorer ang lehitimong implementasyon.
Collaboration and Recovery Efforts
Ito ay nag-iwan sa umaatake ng buong kontrol sa loob ng ilang buwan hanggang sa na-upgrade nila ang proxy at naisagawa ang minting event na nag-drain sa protocol. Sinabi ng USPD na nakikipagtulungan ito sa mga awtoridad, mga mananaliksik sa seguridad, at mga pangunahing exchange upang subaybayan ang mga pondo at pigilan ang karagdagang paggalaw. Nag-alok ang koponan sa umaatake ng pagkakataong ibalik ang 90% ng mga asset sa ilalim ng isang karaniwang bug-bounty structure, na nagsasabing ituturing nito ang aksyon bilang isang whitehat recovery kung ang mga pondo ay ibabalik.
Wider Context of Exploits
Ang insidente ng USPD ay dumating sa isa sa mga aktibong panahon para sa mga pagsasamantala ngayong taon, na ang mga pagkalugi sa Disyembre ay lumampas na sa $100 milyon. Kinumpirma ng Upbit, isa sa pinakamalaking exchange sa South Korea, ang isang $30 milyon na paglabag na konektado sa Lazarus Group noong nakaraang linggo. Sinabi ng mga imbestigador na ang mga umaatake ay nagkunwaring mga panloob na administrador upang makakuha ng access, na nagpapatuloy sa isang pattern na nagtulak sa mga pagnanakaw na konektado sa Lazarus na lumampas sa $1 bilyon ngayong taon.
Nakaharap din ang Yearn Finance ng isang pagsasamantala sa simula ng Disyembre na nakaapekto sa legacy yETH token contract nito. Gumamit ang mga umaatake ng isang bug na nagbigay-daan sa walang limitasyong pag-mint, na nag-produce ng trillions ng token sa isang transaksyon at nag-drain ng humigit-kumulang $9 milyon sa halaga. Ang sunud-sunod na mga insidente ay nag-highlight ng tumataas na sopistikasyon sa mga pag-atake na nakatuon sa DeFi, partikular ang mga nagta-target sa mga proxy contract, admin keys, at legacy systems.
Sinabi ng mga security team na tumataas ang interes sa mga decentralized multi-party computation tools at mga hardened deployment frameworks habang ang mga protocol ay naglalayong bawasan ang epekto ng mga single-point failures.
