Protokol stablecoin terdesentralisasi USPD terkena eksploitasi senilai $1 juta

USPD menghadapi pelanggaran keamanan yang parah setelah penyerang diam-diam mengambil alih kontrol kontrak proxy beberapa bulan lalu dan menggunakan akses tersebut untuk mencetak token baru dan menguras dana.

USPD mengungkapkan insiden tersebut pada 5 Desember, menyatakan bahwa eksploitasi tersebut memungkinkan penyerang mencetak sekitar 98 juta USPD dan mengambil sekitar 232 stETH, senilai sekitar $1 juta. Tim mendesak pengguna untuk tidak membeli token tersebut dan mencabut persetujuan hingga pemberitahuan lebih lanjut.

Penyerang menggunakan kontrol proxy tersembunyi 

Protokol tersebut menekankan bahwa logika kontrak pintar yang telah diaudit bukan sumber kegagalan. USPD mengatakan perusahaan seperti Nethermind dan Resonance telah meninjau kode, dan pengujian internal mengkonfirmasi perilaku yang diharapkan. Sebaliknya, pelanggaran tersebut berasal dari apa yang disebut tim sebagai serangan "CPIMP", yaitu taktik yang menargetkan jendela deployment kontrak proxy.

Menurut USPD, penyerang melakukan front-run pada proses inisialisasi pada 16 September menggunakan transaksi Multicall3. Penyerang masuk sebelum skrip deployment selesai, merebut akses admin, dan menyelipkan implementasi proxy tersembunyi.

Untuk menjaga agar pengaturan berbahaya tetap tersembunyi dari pengguna, auditor, dan bahkan Etherscan, versi bayangan tersebut meneruskan panggilan ke kontrak yang diaudit.

Penyamaran berhasil karena penyerang memanipulasi data peristiwa dan memalsukan slot penyimpanan sehingga penjelajah blok menampilkan implementasi yang sah. Hal ini membuat penyerang memiliki kendali penuh selama berbulan-bulan sampai mereka memutakhirkan proxy dan mengeksekusi peristiwa pencetakan yang menguras protokol.

USPD mengatakan sedang bekerja sama dengan penegak hukum, peneliti keamanan, dan bursa besar untuk melacak dana dan menghentikan pergerakan lebih lanjut. Tim telah menawarkan kesempatan kepada penyerang untuk mengembalikan 90% aset di bawah struktur bug-bounty standar, mengatakan akan memperlakukan tindakan tersebut sebagai pemulihan whitehat jika dana dikembalikan.

Eksploitasi menambah bulan yang berat

Insiden USPD terjadi selama salah satu periode aktif untuk eksploitasi tahun ini, dengan kerugian sepanjang Desember sudah melampaui $100 juta.

Upbit, salah satu bursa terbesar Korea Selatan, mengkonfirmasi pelanggaran senilai $30 juta yang terkait dengan Lazarus Group awal minggu ini. Penyelidik mengatakan penyerang menyamar sebagai administrator internal untuk mendapatkan akses, melanjutkan pola yang telah mendorong pencurian terkait Lazarus di atas $1 miliar tahun ini.

Yearn Finance juga menghadapi eksploitasi awal Desember yang memengaruhi kontrak token yETH lama. Penyerang menggunakan bug yang memungkinkan pencetakan tak terbatas, menghasilkan triliunan token dalam satu transaksi dan menguras nilai sekitar $9 juta.

Rangkaian insiden ini menyoroti meningkatnya kecanggihan dalam serangan yang berfokus pada DeFi, terutama yang menargetkan kontrak proxy, kunci admin, dan sistem lama. Tim keamanan mengatakan minat meningkat di sekitar alat komputasi multi-pihak terdesentralisasi dan kerangka deployment yang diperkuat karena protokol berusaha mengurangi dampak kegagalan titik tunggal.