USPD稳定币协议遭遇高级CPIMP攻击,损失达100万美元。在部署期间,黑客控制了协议并潜伏数月,最终将资金席卷一空。
USPD协议证实发生了严重漏洞利用。攻击者铸造了9800万枚USPD代币。约232枚stETH在流动性池中被清算。
此次事件并非代码漏洞导致。USPD曾由Nethermind和Resonance进行安全审计。智能合约的逻辑在事件中未被破坏。
相反,攻击者利用了CPIMP攻击向量,即“代理中间的隐秘代理”(Clandestine Proxy in the Middle of Proxy)。攻击发生在9月16日部署期间。
攻击者利用Multicall3交易协助初始化代理。在部署脚本完成前,管理员权限被窃取。一个影子实现将调用发送到已通过审计的有效代码。
攻击者通过操控事件载荷,隐藏了自身的存在。存储槽欺骗绕过了Etherscan验证系统。该网站将已审计合约展示为正常运行的实现合约。
昨天通过隐藏方式访问代理,仍可进行代理升级。未授权代币瞬间涌现。铸币操作后,流动性被抽干。
你可能还感兴趣: 加密黑客新闻:朝鲜黑客利用EtherHiding进行加密货币盗窃
USPD代表已经将攻击者地址标记给多家主流交易所。已在中心化和去中心化平台上发出通知。目前,平台已启动资金流向监控。
目前有两个地址正在调查中。Infector钱包 = 0x7C97313f349608f59A07C23b18Ce523A33219d83。Drainer地址 = 0x083379BDAC3E138cb0C7210e0282fbC466A3215A。
团队提供了白帽解决方案路径。攻击者可返还90%被盗资金。在资金归还后,将停止执法程序。
USPD官方已承诺将很快发布技术复盘报告。社区的透明度依然是首要任务。与多家大型安全机构的追讨工作正在进行中。
该协议事件展示了新型攻击向量对安全性的巨大挑战。即使是最严格的审计也未能阻止此次高级攻击。行业范围的影响正在被关注。
