USPD 穩定幣協議遭遇先進 CPIMP 攻擊,損失 100 萬美元。部署期間,駭客取得控制權後潛伏數月,最終掏空資金庫。
USPD 協議證實發生重大漏洞。攻擊者鑄造了 9,800 萬枚 USPD 代幣。大約 232 枚 stETH 被從流動性池中清算。
這並非代碼漏洞被入侵。USPD 曾由 Nethermind 和 Resonance 進行安全審計。此次事件中智能合約邏輯未被破壞。
攻擊者利用了 CPIMP 攻擊向量,即「代理之中的秘密代理」(Clandestine Proxy in the Middle of Proxy)。這起事件發生在 9 月 16 日部署時。
駭客利用 Multicall3 交易協助初始化代理。在部署腳本完成前,管理員權限已被竊取。一個暗影實現將調用發送到經過審計的有效代碼。
攻擊者的存在被事件負載的操控所隱藏。存儲槽偽造繞過了 Etherscan 驗證系統。該網站顯示經審計的合約仍在運行。
昨日仍可通過隱藏手法訪問代理並進行升級。未授權代幣席捲全球。鑄幣操作後,流動性隨即被抽乾。
你可能還喜歡: 加密駭客新聞:北韓駭客利用 EtherHiding 進行加密盜竊
USPD 代表已將攻擊者地址標記給主要交易所。通知已發送至中心化與去中心化平台。目前,資金流動監控已於多平台啟動。
目前有兩個地址正在調查中。感染者錢包 = 0x7C97313f349608f59A07C23b18Ce523A33219d83。抽水地址 = 0x083379BDAC3E138cb0C7210e0282fbC466A3215A。
團隊提供了白帽解決方案。攻擊者可退還 90% 被盜資金。資金一經追回,執法程序將停止。
USPD 官員已保證很快將發布技術事後分析報告。社群透明度仍為首要任務。與主要安全機構的資金追討仍在進行中。
此協議揭示了新型攻擊向量正挑戰資安底線。即便最嚴格的審計也未能阻止這種先進攻擊。整個產業現正關注其影響。
