Thông tin về lỗ hổng bảo mật của giao thức USPD
Giao thức USPD đang phải đối mặt với một lỗ hổng bảo mật nghiêm trọng sau khi một kẻ tấn công âm thầm kiểm soát hợp đồng proxy của nó từ nhiều tháng trước. Kẻ tấn công đã sử dụng quyền truy cập này để đúc các token mới và rút tiền. Vào ngày 5 tháng 12, USPD đã công bố sự cố, cho biết lỗ hổng cho phép kẻ tấn công đúc khoảng 98 triệu USPD và rút khoảng 232 stETH, trị giá khoảng 1 triệu đô la. Nhóm phát triển đã kêu gọi người dùng không mua token và thu hồi các quyền phê duyệt cho đến khi có thông báo mới. Giao thức nhấn mạnh rằng logic hợp đồng thông minh đã được kiểm toán của nó không phải là nguồn gốc của sự cố.
USPD cho biết các công ty như Nethermind và Resonance đã xem xét mã nguồn, và các thử nghiệm nội bộ đã xác nhận hành vi như mong đợi. Thay vào đó, lỗ hổng đến từ một cuộc tấn công mà nhóm mô tả là “CPIMP”, một chiến thuật nhắm vào khoảng thời gian triển khai của một hợp đồng proxy.
Cảnh báo bảo mật khẩn cấp
CẢNH BÁO BẢO MẬT KHẨN CẤP: LỖ HỔNG GIAO THỨC USPD
1/ Chúng tôi đã xác nhận một lỗ hổng nghiêm trọng của giao thức USPD dẫn đến việc đúc token trái phép và rút thanh khoản. Xin VUI LÒNG KHÔNG mua USPD và ngay lập tức thu hồi tất cả các quyền phê duyệt. Theo USPD, kẻ tấn công đã thực hiện trước quy trình khởi tạo vào ngày 16 tháng 9 bằng cách sử dụng giao dịch Multicall3. Kẻ tấn công đã nhảy vào trước khi kịch bản triển khai hoàn tất, chiếm quyền truy cập quản trị và lén lút đưa vào một triển khai proxy ẩn.
Để giữ cho thiết lập độc hại không bị phát hiện bởi người dùng, kiểm toán viên và thậm chí cả Etherscan, phiên bản bóng tối đó đã chuyển tiếp các cuộc gọi đến hợp đồng đã được kiểm toán. Sự ngụy trang đã hoạt động vì kẻ tấn công đã thao túng dữ liệu sự kiện và giả mạo các slot lưu trữ để các trình khám phá khối hiển thị triển khai hợp pháp. Điều này đã để lại cho kẻ tấn công quyền kiểm soát hoàn toàn trong nhiều tháng cho đến khi họ nâng cấp proxy và thực hiện sự kiện đúc token, dẫn đến việc rút cạn giao thức.
Hành động của USPD và tình hình hiện tại
USPD cho biết họ đang làm việc với cơ quan thực thi pháp luật, các nhà nghiên cứu bảo mật và các sàn giao dịch lớn để truy tìm tiền và ngăn chặn các giao dịch tiếp theo. Nhóm đã đề nghị kẻ tấn công một cơ hội để trả lại 90% tài sản theo một cấu trúc thưởng lỗi tiêu chuẩn, nói rằng họ sẽ coi hành động này như một sự phục hồi whitehat nếu số tiền được gửi lại.
Sự cố USPD xảy ra trong một trong những thời kỳ hoạt động cao điểm cho các cuộc tấn công trong năm nay, với tổn thất trong tháng 12 đã vượt quá 100 triệu đô la. Upbit, một trong những sàn giao dịch lớn nhất Hàn Quốc, đã xác nhận một vụ vi phạm 30 triệu đô la liên quan đến Lazarus Group vào đầu tuần này. Các nhà điều tra cho biết kẻ tấn công đã giả mạo là các quản trị viên nội bộ để có được quyền truy cập, tiếp tục một mô hình đã đẩy các vụ trộm liên quan đến Lazarus lên trên 1 tỷ đô la trong năm nay.
Yearn Finance cũng đã phải đối mặt với một cuộc tấn công vào đầu tháng 12, ảnh hưởng đến hợp đồng token yETH cũ của nó. Kẻ tấn công đã sử dụng một lỗi cho phép đúc không giới hạn, sản xuất hàng triệu token trong một giao dịch và rút khoảng 9 triệu đô la giá trị. Chuỗi sự cố này làm nổi bật sự tinh vi ngày càng tăng trong các cuộc tấn công nhắm vào DeFi, đặc biệt là những cuộc tấn công nhắm vào các hợp đồng proxy, khóa quản trị và hệ thống cũ. Các đội ngũ bảo mật cho biết sự quan tâm đang gia tăng xung quanh các công cụ tính toán đa bên phi tập trung và các khung triển khai được gia cố khi các giao thức tìm cách giảm thiểu tác động của các điểm thất bại đơn lẻ.
