Een recent incident in de wereld van decentrale financiën (DeFi) heeft de aandacht gevestigd op kwetsbaarheden die door aanvallers kunnen worden uitgebuit. Een hacker maakte misbruik van een kwetsbaarheid in het US Permissionless Dollar (USPD)-protocol en nam meer dan $ 1 miljoen aan liquiditeit op.
Hoe vond de hack plaats?
Volgens een rapport van het USPD-team op sociale media stortte een onbekende aanvaller 3.122 ETH en mintte hij 98 miljoen USPD-tokens in één transactie. Hierdoor werd tien keer zoveel tokens aangemaakt als de oorspronkelijke storting en ontving de hacker 237 stETH extra. De gestolen cryptovaluta werden via de gedecentraliseerde exchange Curve ingewisseld voor 300.000 USDC-stablecoins.
Nadat de kritieke kwetsbaarheid in het protocol was ontdekt, drongen de ontwikkelaars van USPD er bij klanten op aan geen USPD-stablecoins te kopen en alle rechten onmiddellijk in te trekken.
CPIMP-aanvalsvector
Het protocolteam verduidelijkte dat een geavanceerde aanvalsvector genaamd CPIMP (Clandestine Proxy In the Middle of Proxy) werd gebruikt voor de hack. De aanvaller kreeg enkele maanden geleden de controle over de proxyserver. Op 16 september startten ze het initialisatieproces met behulp van de Multicall3-transactie. Met behulp van CPIMP kon de hacker heimelijk beheerdersrechten verkrijgen en volledige controle over de protocolscripts krijgen, waardoor ze ongeautoriseerde tokenuitgiftes konden starten.
Schaduwcontract
Om de kwaadaardige configuratie te verbergen voor gebruikers, auditors en zelfs de Ethereum blockchain-explorer Etherscan, implementeerde de aanvaller een schaduwcontract dat oproepen omleidde naar het te verifiëren contract. Met behulp van deze camouflage manipuleerden ze gebeurtenisgegevens en vervalsten ze opslagslots om block explorers ertoe te verleiden de uitvoering van een beveiligd contract te melden. Hierdoor had de hacker enkele maanden volledige controle over het smart contract, totdat ze de proxyserver bijwerkten en tokens uitgaven om het protocol uit te putten.
Reactie van het USPD-team
Het USPD-team verklaarde dat het wetshandhavers, beveiligingsspecialisten en grote beurzen heeft ingeschakeld om het incident te onderzoeken en de geldbewegingen te volgen. De ontwikkelaars van de USPD boden de aanvaller een terugbetaling van 90% aan als beloning voor hun medewerking, wat de ernst van de situatie en hun inzet om de verloren gelden terug te vorderen onderstreepte.
Conclusie
Dit incident herinnert eraan dat zelfs in de wereld van gedecentraliseerde financiën, waar veiligheid en transparantie kernprincipes zijn, kwetsbaarheden bestaan die door aanvallers kunnen worden uitgebuit. Ontwikkelteams moeten blijven werken aan het verbeteren van de beveiliging van hun protocollen om soortgelijke aanvallen in de toekomst te voorkomen.