随着新的链上数据和安全分析不断涌现,调查人员仍在努力拼凑出 USPD 稳定币协议是如何被掏空的。
概括
这去中心化金融协议美国无需许可美元遭受了严重的安全漏洞,导致未经授权的稳定币铸造损失超过100万美元流动性方面。根据协议团队官方账号上分享的事件报告,X攻击者向账户存入了大约3,122 以太坊作为平台上的抵押品。
报告指出,攻击者随后利用这些抵押品触发了一个漏洞,使其能够铸造大约9800万美国公元单笔交易中代币数量激增。此外,错误的逻辑导致生成的代币数量约为原始存款金额的十倍,极大地增加了代币供应量,并破坏了系统的经济假设。
这个过程也为攻击者提供了一条窃取额外资金的途径。237 stETH从协议的抵押池中被盗的稳定币随后被兑换成约30万美元价值美国财政部通过去中心化交换曲线安全分析师称之为流动性快速退出。然而,大部分已发行的代币仍然是当前关注的焦点。追查被盗资金努力。
USPD开发人员和多个网络安全监控帐户,包括PeckShield 警报漏洞确认后,团队迅速向用户发出警告。团队敦促社区成员:“请不要购买 USPD。立即撤销所有授权。”他们强调,该协议已经遭受了双重打击。流动性枯竭以及重大的治理妥协。
该协议的技术报告称,此次漏洞利用了一种名为“复杂向量”的攻击途径。CPIMP的缩写秘密代理人在代理过程中美国警察局解释说,袭击者抢先一步……代理初始化在部署期间9月16日使用多路调用3交易目的是在设置过程中植入恶意步骤。
利用这种方法,攻击者在部署脚本完全执行之前悄无声息地获取了管理员权限。然而,他们并没有立即采取行动,而是等待了数月才开始未经授权地铸造代币。攻击者部署了一个“影子”实现合约,该合约会将所有调用转发到美国警察局经审计的代码用熟悉的界面掩盖恶意更改。
在这个隐藏的实现过程中,攻击者逐步引入了事件有效载荷操纵和存储槽欺骗。这种组合欺骗了……以太坊扫描即使实时代理指向的是他们自己植入后门的逻辑,攻击者仍然显示原始的经审计的合约。美国邮政署表示,这种伪装“使攻击者得以在众目睽睽之下隐藏数月,绕过验证工具和人工检查”,最终升级代理,铸造了约9800万美国邮政币,并窃取了大约232 stETH.
一个区块链分析师稍后这与协议团队对事件的分析相呼应。根据他们的帖子,部署期间代理初始化存在缺陷,导致攻击打开了方便之门:攻击者获取了管理员权限,安装了影子合约,并使用元数据欺骗技术,使得区块浏览器继续显示看似安全的、经过审计的合约。然而,在这层伪装之下,cpimp漏洞利用详情明确表明特权铸币逻辑已被颠覆。
事件发生后,美国警察局立即表示,他们正在与执法机构和白帽黑客组织合作。安全组到追踪资金流向并尽可能冻结资产。“我们已将攻击者的地址标记在所有主要系统中。”中央交易所和右美沙芬“冻结资金流动,”该团队写道,这表明他们对此事做出了协调一致的回应。美国邮政局协议破解.
与此同时,该协议表明了寻求……的意愿漏洞赏金谈判与其采取纯粹的惩罚措施,不如公开提出和解方案。如果攻击者归还资金(扣除标准的10%漏洞赏金),美国警察局将同意和解。此外,美国警察局承诺,如果攻击者接受和解方案,并直接联系美国警察局或在链上归还90%的被盗资产,美国警察局将停止一切执法行动。
该协议向其成员发表的声明既表达了沮丧,也体现了决心。“尽管我们进行了严格的审计并遵循了最佳实践,但我们仍然成为了这种新兴且高度复杂的攻击手段的受害者,这让我们感到非常痛心。我们正在竭尽全力追回资产,”美国警察局表示,并将此案描述为对不断演变的复杂攻击手段的严峻警告。秘密代理攻击技术。
根据CoinMarketCap协议的原生USPD稳定币迄今为止,该货币一直维持着与美元挂钩的既定汇率制度。然而,交易活动已明显走弱,24小时成交量下降20%大约256万美元分析师指出,如果市场信心进一步减弱,次级流动性压力仍可能出现。
USPD事件发生之际,多家去中心化金融平台仍在从各自严重的安全漏洞中恢复。上周一,Yearn Finance披露了一个影响其流动性质押指数代币的漏洞yETH其中,攻击者铸造了数量几乎无限的代币,并窃取了大约300万美元在ETH.
Yearn Finance此前已经经历过一次单独的900万美元在其 yETH 稳定交换池中存在漏洞11月30日然而,该团队已开始收回资金。到目前为止,它已成功恢复了约239万美元这笔款项将作为结构化补救计划的一部分,返还给受影响的储户。
其他DeFi项目,平衡器在遭受 v2 漏洞攻击后,该公司也处于恢复模式,该漏洞造成了约 10 ...1.28亿美元该协议已宣布计划报销约800万美元对流动性提供者而言。此外,这些备受瞩目的案例,加上 USPD 漏洞利用,进一步强化了人们对更健全的代理初始化程序的呼吁。链上验证标准整个行业。
总的来说,USPD 黑客事件凸显了高级代理漏洞利用、复杂的部署竞争和流动性耗尽策略如何重塑 DeFi 稳定币协议的风险状况,即使它们已经过严格的审计。
