Протокол USPD зазнав складної атаки з втратою близько 232 stETH, зловмисник випустив 98 мільйонів токенів USPD

За повідомленням Deep Tide TechFlow, 5 грудня офіційна команда протоколу USPD оприлюднила термінове попередження про безпеку, підтвердивши, що їхній протокол зазнав серйозної атаки через вразливість безпеки, що призвело до несанкціонованого карбування токенів і вичерпання ліквідності. Зловмисник використав складну атаку з використанням секретного проксі під назвою “CPIMP”( у проміжному проксі), і під час розгортання 16 вересня випередив ініціалізацію проксі, отримавши приховані права адміністратора. Встановивши “тіньову” реалізацію та маніпулюючи даними подій, зловмисник успішно обійшов інструменти верифікації, зокрема Etherscan, і після кількох місяців приховування сьогодні скористався правами, щоб накарбувати близько 98 мільйонів USPD і викрасти приблизно 232 stETH. Команда USPD вже співпрацює з правоохоронними органами та організаціями з кібербезпеки, помітивши адресу зловмисника для замороження коштів, а також запропонувала розглядати інцидент як white-hat rescue — у разі повернення 90% коштів вони припинять правові дії.