Le protocole USPD subit une exploitation via le vecteur d'attaque "CPIMP"

• Malgré avoir passé les audits de Nethermind et Resonance, le protocole USPD a été compromis par une rare exploitation CPIMP.
• L'attaquant a utilisé différentes techniques qui lui ont permis de créer des jetons non autorisés et de drainer les liquidités sans être détecté.

Il y a quelques heures, l'équipe USPD a confirmé qu'une attaque avait causé à la plateforme une création non autorisée de jetons et une perte de liquidité.

Selon les détails, la faille ne provenait pas d'erreurs dans la conception du smart contract du protocole, mais plutôt d'une méthode inhabituelle et extrêmement sophistiquée connue sous le nom d'exploitation Clandestine Proxy In the Middle of Proxy (CPIMP). Un concept complexe ? Laissez-moi vous l'expliquer.

Comment le Hacker a utilisé le CIMP pour exploiter le protocole USPD

Avant le lancement d'USPD, le système a fait l'objet de revues de sécurité approfondies réalisées par deux sociétés d'audit respectées, Nethermind et Resonance. Pendant l'audit, chaque partie de la plateforme a été testée, vérifiée et validée, et lors du lancement, l'architecture suivait les pratiques de sécurité typiques du secteur, et toutes les unités du code ont passé leurs évaluations.

Cependant, malgré les processus de haut niveau mis en place, l'attaquant a réussi à s'infiltrer dans le processus de déploiement le 16 septembre. Pendant le déploiement, l'attaquant a réussi à exécuter soigneusement une opération front-run chronométrée en utilisant une transaction Multicall3.

Cette étape leur a donné l'opportunité de prendre le contrôle du rôle d'administrateur du proxy avant que le script de déploiement n'atteigne l'étape destinée à finaliser la propriété. Après avoir pris le contrôle, l'attaquant a inséré une implémentation différente derrière le proxy.

À lire également : Binance Coin maintient un support clé alors que les signaux du marché indiquent une possible percée

En faisant cela, la configuration a transmis chaque requête au contrat original et vérifié. Ainsi, rien ne semblait suspect de l'extérieur (c'est-à-dire du côté de l'équipe USPD et du côté des utilisateurs). Ils ont également manipulé les données d'événements et modifié les emplacements de stockage de manière à ce qu'Etherscan affiche le contrat correct et audité comme l'implémentation active.

En examinant cela, nous pouvons clairement voir que les pirates ont méticuleusement exécuté chaque étape silencieusement, avec précision, et de manière presque impossible à détecter en temps réel.

L'équipe USPD, quant à elle, a partagé qu'elle travaille en partenariat avec les forces de l'ordre et des experts en cybersécurité pour s'assurer que les pirates soient exposés. De plus, les portefeuilles de l'attaquant ont été signalés aux principales bourses centralisées et décentralisées pour bloquer le mouvement des actifs volés.

À lire également : Le Département de la Justice américain saisit un domaine d'arnaque crypto lié à l'Asie du Sud-Est