一名黑客攻击了DeFi协议USPD，造成100万美元的损失

去中心化金融 (DeFi) 领域近期发生的一起事件引发了人们对攻击者可利用的漏洞的关注。一名黑客利用美国无需许可美元 (USPD) 协议中的一个漏洞，盗取了超过 100 万美元的流动性。

此次攻击是如何发生的？

根据 USPD 团队在社交媒体上发布的报告，一名身份不明的攻击者通过单笔交易存入 3,122 个 ETH，并铸造了 9800 万个 USPD 代币。最终，创建的代币数量是初始存款的十倍，黑客还额外获得了 237 个 stETH。被盗的加密资产通过去中心化交易所 Curve 兑换成了 30 万个 USDC 稳定币。

在发现协议中的严重漏洞后，USPD 开发人员敦促用户不要购买 USPD 稳定币，并立即撤销所有相关权限。

CPIMP攻击向量

协议团队澄清，此次攻击使用了名为CPIMP（代理中间的隐蔽代理）的复杂攻击向量。攻击者在数月前控制了代理服务器。9月16日，他们使用Multicall3交易启动了初始化过程。利用CPIMP，攻击者能够隐蔽地获取管理权限并完全控制协议脚本，从而启动未经授权的代币发行。

影子合约

为了向用户、审计人员甚至以太坊区块链浏览器Etherscan隐藏恶意配置，攻击者实施了一个影子合约，将调用重定向到正在验证的合约。利用这种伪装，他们篡改了事件数据并伪造了存储槽位，诱使区块浏览器报告执行了一个安全合约。这使得攻击者能够完全控制智能合约数月之久，直到他们更新代理服务器并发行代币以耗尽协议资源。

USPD团队回应

USPD团队表示，他们已与执法部门、安全专家和各大交易所合作，共同调查此次事件，追踪资金流向。USPD开发人员向攻击者提供90%的退款作为合作奖励，以此强调事件的严重性以及他们追回损失资金的决心。

结论

此次事件提醒我们，即使在以安全性和透明度为核心原则的去中心化金融领域，仍然存在可被攻击者利用的漏洞。开发团队必须持续努力提升协议的安全性，以防止未来发生类似攻击。