Protokol stablecoin USPD menjadi korban serangan CPIMP tingkat lanjut yang menyebabkan kerugian 1 juta. Selama proses deployment, peretas mengambil alih kendali dan menghilang, lalu beberapa bulan kemudian menguras dana protokol.
Eksploitasi kritis telah dikonfirmasi oleh protokol USPD. Penyerang mencetak 98 juta token USPD. Sekitar 232 stETH telah dilikuidasi dari pool likuiditas.
Serangan Tersembunyi Tidak Terdeteksi Sejak September
Ini bukan pelanggaran kerentanan kode. USPD telah diaudit oleh Nethermind dan Resonance terkait keamanan. Logika smart contract tidak dikompromikan dalam insiden ini.
Sebaliknya, penyerang menggunakan vektor serangan CPIMP. Ini adalah singkatan dari Clandestine Proxy in the Middle of Proxy. Aksi ini terjadi saat deployment pada 16 September.
Transaksi Multicall3 digunakan untuk menginisialisasi proxy dengan bantuan peretas. Sebelum skrip deployment selesai, hak admin telah dicuri. Implementasi bayangan mengirimkan panggilan ke kode yang telah diaudit.
Alat Verifikasi Etherscan Benar-Benar Tertipu
Kehadiran penyerang disembunyikan dengan manipulasi payload event. Storage slot spoofing memanipulasi sistem verifikasi Etherscan. Situs tersebut menampilkan kontrak yang telah diaudit seolah-olah masih menjadi implementasi yang berjalan.
Upgrade proxy tersedia kemarin dengan mengakses proxy melalui cara tersembunyi. Koin tanpa izin tersebar ke seluruh dunia melalui token. Operasi minting diikuti dengan pengurasan likuiditas.
Anda mungkin juga suka: Berita Peretasan Kripto: Peretas Korea Utara Eksploitasi EtherHiding untuk Pencurian Kripto
Penegak Hukum dan CEX Kini Melacak Dana yang Dicuri
Perwakilan USPD menandai alamat-alamat penyerang ke beberapa bursa besar. Notifikasi telah dikirimkan ke platform terpusat maupun terdesentralisasi. Kini, pemantauan aliran dana sudah berjalan di beberapa platform.
Ada dua alamat yang sedang diselidiki. Dompet infector = 0x7C97313f349608f59A07C23b18Ce523A33219d83. Alamat drainer = 0x083379BDAC3E138cb0C7210e0282fbC466A3215A.
Tim menawarkan jalur resolusi whitehat. Penyerang dapat mengembalikan 90 persen dana yang dicuri. Jika dana sudah dipulihkan, penegakan hukum akan dihentikan.
Pejabat USPD menjanjikan laporan teknis post-mortem dalam waktu dekat. Transparansi kepada komunitas tetap menjadi prioritas. Proses pemulihan terus berjalan bersama organisasi keamanan utama.
Protokol ini menunjukkan bagaimana vektor serangan baru semakin menguji keamanan. Serangan canggih ini bahkan tidak terdeteksi oleh audit yang sangat ketat sekalipun. Implikasi industri secara luas kini sedang ditinjau.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
