Um hacker causou um prejuízo de 1 milhão de dólares ao protocolo DeFi USPD

Um incidente recente no mundo das finanças descentralizadas (DeFi) chamou a atenção para as vulnerabilidades que podem ser exploradas pelos atacantes. Um hacker explorou uma vulnerabilidade no protocolo US Permissionless Dollar (USPD) e retirou mais de 1 milhão de dólares em liquidez.

Como ocorreu o ataque?

De acordo com um relatório da equipa do USPD nas redes sociais, um atacante desconhecido depositou 3.122 ETH e criou 98 milhões de tokens USPD numa única transação. Como resultado, a quantidade de tokens criados foi dez vezes superior ao depósito inicial, e o hacker recebeu 237 stETH adicionais. Os criptoativos roubados foram trocados por 300.000 stablecoins USDC através da exchange descentralizada Curve.

Após descobrirem a vulnerabilidade crítica no protocolo, os programadores do USPD alertaram os clientes para que não comprassem stablecoins USPD e revogassem imediatamente todas as permissões.

Vetor de Ataque CPIMP

A equipa do protocolo esclareceu que um vetor de ataque sofisticado chamado CPIMP (Clandestine Proxy In the Middle of Proxy) foi utilizado no ataque. O atacante obteve o controlo do servidor proxy há vários meses. No dia 16 de setembro, iniciou o processo de arranque utilizando a transação Multicall3. Utilizando o CPIMP, o hacker conseguiu obter privilégios administrativos furtivamente e controlo total sobre os scripts do protocolo, permitindo-lhe lançar uma emissão de tokens não autorizada.

Contrato Sombra

Para ocultar a configuração maliciosa dos utilizadores, auditores e até mesmo do explorador de blockchain Ethereum, o Etherscan, o atacante implementou um contrato sombra que redirecionava as chamadas para o contrato que estava a ser verificado. Usando esta camuflagem, manipulou dados de eventos e falsificou slots de armazenamento para enganar os exploradores de blocos e fazê-los reportar a execução de um contrato seguro. Isto permitiu ao hacker controlar totalmente o contrato inteligente durante vários meses, até que atualizou o servidor proxy e emitiu tokens para esgotar o protocolo.

Resposta da Equipa USPD

A equipa da USPD declarou que contactou as autoridades policiais, especialistas em segurança e as principais corretoras para investigar o incidente e rastrear a movimentação dos fundos. Os promotores da USPD ofereceram ao atacante um reembolso de 90% como recompensa pela sua cooperação, sublinhando a gravidade da situação e o seu empenho em recuperar os fundos perdidos.

Em Conclusão

Este incidente serve como um lembrete de que, mesmo no mundo das finanças descentralizadas, onde a segurança e a transparência são princípios fundamentais, existem vulnerabilidades que podem ser exploradas pelos atacantes. As equipas de desenvolvimento devem continuar a trabalhar para melhorar a segurança dos seus protocolos, a fim de evitar ataques semelhantes no futuro.