en
de
zh
fr
es
tr
pt
nl
ru
hi
Нещодавній інцидент у світі децентралізованих фінансів (DeFi) привернув увагу до вразливостей, які можуть використати зловмисники. Хакер скористався вразливістю протоколу US Permissionless Dollar (USPD) та вивів ліквідність на суму понад $1 млн.
Як стався злом?
Згідно зі звітом команди USPD у соцмережі X, невідомий зловмисник вніс заставу на 3122 ETH і випустив 98 млн. токенів USPD за одну транзакцію. В результаті сума створених токенів у десять разів перевищила початковий депозит, і хакер отримав додатково 237 stETH. Вкрадені криптоактиви були обмінені на 300 000 стейблкоїнів USDC через децентралізовану біржу Curve.
Виявивши критичну вразливість у протоколі, розробники USPD закликали клієнтів не купувати стейблкоіни USPD та негайно відкликати всі дозволи.
Вектор атаки CPIMP
Команда протоколу уточнила, що для злому використовувався складний вектор атаки під назвою CPIMP. Зловмисник отримав контроль над проксі-сервером кілька місяців тому. 16 вересня він запустив процес ініціалізації за допомогою транзакції Multicall3. Використовуючи CPIMP, хакер зміг потай отримати адміністративні права та здійснити повний контроль над скриптами протоколу, що дозволило йому розпочати несанкціонований випуск токенів.
Тіньовий контракт
Щоб приховати шкідливе налаштування від користувачів, аудиторів і навіть оглядача блокчейна Ефіріума Etherscan, зловмисник впровадив тіньовий контракт, який перенаправляв виклики на контракт, що перевіряється. Замаскувавшись таким чином, він маніпулював даними подій та підробляв слоти зберігання, щоб оглядачі блоків відображали виконання безпечного контракту. Це дозволило хакеру повністю контролювати смарт-контракт протягом кількох місяців, доки він не оновив проксі-сервер і не випустив токени для виснаження протоколу.
Реакція команди USPD
Команда USPD заявила, що залучила до розслідування інцидент правоохоронців, фахівців з безпеки та великі біржі для відстеження руху коштів. Розробники USPD запропонували зловмиснику повернути 90% активів як винагороду за співпрацю, що підкреслює серйозність ситуації та прагнення відновлення втрачених коштів.
На закінчення
Цей інцидент є нагадуванням про те, що навіть у світі децентралізованих фінансів, де безпека та прозорість є основними принципами, існують уразливості, які можуть бути використані зловмисниками. Команди розробників повинні продовжувати працювати над покращенням безпеки своїх протоколів, щоб запобігти подібним атакам у майбутньому.
