USPD столкнулся с серьёзной уязвимостью безопасности после того, как злоумышленник незаметно получил контроль над его прокси-контрактом несколько месяцев назад и использовал этот доступ для выпуска новых токенов и вывода средств.
USPD сообщил об инциденте 5 декабря, заявив, что эксплойт позволил злоумышленнику выпустить около 98 млн. USPD и вывести 232 stETH на сумму $1 млн. Команда призвала пользователей не покупать токен и отозвать одобрения до дальнейшего уведомления.
Протокол заявляет, что прошедшая аудит логика смарт-контракта не была причиной сбоя. По словам USPD, компании Nethermind и Resonance проверили код и внутренние тесты подтвердили ожидаемое поведение. На самом деле, взлом был вызван атакой «CPIMP», которая, по словам команды, представляет собой тактику, нацеленную на окно развертывания прокси-контракта.
По данным USPD, злоумышленник запустил процесс инициализации 16 сентября, используя транзакцию Multicall3. Он подключился до завершения работы скрипта развертывания, получил права администратора и проник в скрытую реализацию прокси-сервера. Чтобы скрыть вредоносную настройку от пользователей, аудиторов и даже Etherscan, эта теневая версия перенаправляла вызовы на прошедший аудит контракт.
USPD заявляет, что сотрудничает с правоохранительными органами, специалистами по безопасности и крупными биржами для отслеживания средств и предотвращения их дальнейшего перемещения. Команда предложила злоумышленнику вернуть 90% активов в рамках стандартной программы баг-баунти.
Источник
Уникальность
