การละเมิดความปลอดภัยของ USPD
USPD กำลังเผชิญกับการละเมิดความปลอดภัยอย่างรุนแรง หลังจากที่ผู้โจมตีได้ควบคุมสัญญา proxy ของมันอย่างเงียบ ๆ เมื่อหลายเดือนก่อน และใช้การเข้าถึงนั้นในการสร้างโทเค็นใหม่และดึงเงินออกไป โดย USPD ได้เปิดเผยเหตุการณ์นี้เมื่อวันที่ 5 ธันวาคม โดยกล่าวว่าการแฮ็กทำให้ผู้โจมตีสามารถสร้าง USPD ได้ประมาณ 98 ล้านเหรียญ และนำ stETH ประมาณ 232 รายการออกไป ซึ่งมีมูลค่าประมาณ 1 ล้านดอลลาร์.
คำแนะนำจาก USPD
ทีมงานได้ขอให้ผู้ใช้ไม่ซื้อโทเค็นและเพิกถอนการอนุมัติจนกว่าจะมีประกาศเพิ่มเติม โปรโตคอลได้เน้นย้ำว่าสมาร์ทคอนแทรคที่ผ่านการตรวจสอบแล้วของมันไม่ใช่แหล่งที่มาของความล้มเหลว USPD กล่าวว่าบริษัทต่าง ๆ เช่น Nethermind และ Resonance ได้ตรวจสอบโค้ดแล้ว และการทดสอบภายในยืนยันพฤติกรรมที่คาดหวัง.
รายละเอียดการโจมตี
การละเมิดเกิดจากสิ่งที่ทีมงานอธิบายว่าเป็นการโจมตี “CPIMP” ซึ่งเป็นกลยุทธ์ที่มุ่งเป้าไปที่หน้าต่างการปรับใช้ของสัญญา proxy.
การแจ้งเตือนความปลอดภัยด่วน: การแฮ็กโปรโตคอล USPD 1/ เราได้ยืนยันการแฮ็กที่สำคัญของโปรโตคอล USPD ซึ่งส่งผลให้เกิดการสร้างโทเค็นโดยไม่ได้รับอนุญาตและการดึงสภาพคล่อง กรุณาอย่าซื้อ USPD และเพิกถอนการอนุมัติทั้งหมดทันที.
วิธีการโจมตี
ตามที่ USPD กล่าว ผู้โจมตีได้ทำการโจมตีในกระบวนการเริ่มต้นเมื่อวันที่ 16 กันยายน โดยใช้ธุรกรรม Multicall3. ผู้โจมตีได้เข้ามาก่อนที่สคริปต์การปรับใช้จะเสร็จสิ้น ได้รับการเข้าถึงผู้ดูแลระบบ และแทรกการดำเนินการ proxy ที่ซ่อนอยู่ เพื่อให้การตั้งค่าที่เป็นอันตรายซ่อนจากผู้ใช้ ผู้ตรวจสอบ และแม้แต่ Etherscan เวอร์ชันเงานั้นได้ส่งต่อการเรียกไปยังสัญญาที่ผ่านการตรวจสอบแล้ว.
การตอบสนองต่อเหตุการณ์
USPD กล่าวว่า กำลังทำงานร่วมกับหน่วยงานบังคับใช้กฎหมาย นักวิจัยด้านความปลอดภัย และการแลกเปลี่ยนขนาดใหญ่เพื่อติดตามเงินและหยุดการเคลื่อนไหวเพิ่มเติม ทีมงานได้เสนอให้ผู้โจมตีมีโอกาสคืน 90% ของสินทรัพย์ภายใต้โครงสร้างการให้รางวัลจากข้อบกพร่องมาตรฐาน โดยกล่าวว่าจะถือว่าการกระทำนี้เป็นการกู้คืนแบบ whitehat หากเงินถูกส่งกลับ.
แนวโน้มการโจมตีใน DeFi
เหตุการณ์ USPD เกิดขึ้นในช่วงหนึ่งในช่วงเวลาที่มีการโจมตีอย่างกระตือรือร้นในปีนี้ โดยการสูญเสียในเดือนธันวาคมได้ผ่าน 100 ล้านดอลลาร์ ไปแล้ว. Upbit หนึ่งในการแลกเปลี่ยนที่ใหญ่ที่สุดในเกาหลีใต้ ยืนยันการละเมิดมูลค่า 30 ล้านดอลลาร์ ที่เกี่ยวข้องกับกลุ่ม Lazarus เมื่อต้นสัปดาห์นี้.
นักสืบกล่าวว่าผู้โจมตีได้แอบอ้างเป็นผู้ดูแลระบบภายในเพื่อขอเข้าถึง ซึ่งเป็นการดำเนินการที่ทำให้การโจรกรรมที่เกี่ยวข้องกับ Lazarus สูงกว่า 1 พันล้านดอลลาร์ ในปีนี้. Yearn Finance ยังเผชิญกับการโจมตีในต้นเดือนธันวาคมที่ส่งผลกระทบต่อสัญญาโทเค็น yETH รุ่นเก่า.
การเกิดเหตุการณ์เหล่านี้เน้นให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นในด้านการโจมตีที่มุ่งเน้น DeFi โดยเฉพาะอย่างยิ่งการโจมตีที่มุ่งเป้าไปที่สัญญา proxy คีย์ผู้ดูแลระบบ และระบบเก่า.
ทีมความปลอดภัยกล่าวว่าความสนใจในเครื่องมือการคำนวณแบบกระจายหลายฝ่ายและกรอบการปรับใช้ที่แข็งแกร่งกำลังเพิ่มขึ้น เนื่องจากโปรโตคอลพยายามลดผลกระทบจากความล้มเหลวที่จุดเดียว.
