Protokol USPD Mengalami Eksploitasi Melalui Vektor Serangan "CPIMP"

• Meskipun telah lulus audit oleh Nethermind dan Resonance, protokol USPD disusupi melalui eksploit CPIMP yang langka.
• Penyerang menggunakan berbagai teknik yang memungkinkan mereka membuat token tidak sah dan menguras likuiditas tanpa terdeteksi.

Beberapa jam yang lalu tim USPD mengonfirmasi bahwa terjadi serangan yang menyebabkan platform mengalami pembuatan token tidak sah dan kehilangan likuiditas.

Menurut detailnya, pelanggaran tersebut tidak berasal dari kesalahan dalam desain kontrak pintar protokol, melainkan disebabkan oleh metode yang tidak biasa dan sangat canggih yang dikenal sebagai eksploit Clandestine Proxy In the Middle of Proxy (CPIMP). Konsep yang kompleks? Mari saya jelaskan.

Bagaimana Peretas Memanfaatkan CIMP untuk Mengeksploitasi Protokol USPD

Sebelum USPD diluncurkan, sistem tersebut melalui tinjauan keamanan ekstensif yang dilakukan oleh dua perusahaan audit terkemuka yang berbeda, Nethermind dan Resonance. Selama audit, setiap bagian platform diuji, diperiksa, dan diverifikasi, dan ketika diluncurkan, arsitekturnya mengikuti praktik keamanan tingkat industri yang umum, dan semua unit basis kode lulus evaluasi mereka.

Namun, meskipun proses tingkat tinggi telah diterapkan, penyerang berhasil menyusup ke dalam proses penerapan pada tanggal 16 September. Selama peluncuran, penyerang berhasil dengan hati-hati mengeksekusi front-run yang diatur waktunya menggunakan transaksi Multicall3.

Langkah ini memberi mereka kesempatan untuk mendapatkan kontrol atas peran administrator proxy sebelum skrip penerapan mencapai tahap yang dimaksudkan untuk menyelesaikan kepemilikan. Setelah mereka berhasil mengambil alih kendali, penyerang menyisipkan implementasi yang berbeda di balik proxy.

Baca Juga: Binance Coin Mempertahankan Dukungan Kunci saat Sinyal Pasar Menunjukkan Kemungkinan Breakout

Dengan melakukan ini, pengaturan tersebut meneruskan setiap permintaan ke kontrak asli yang terverifikasi. Jadi dengan pengaturan itu, tidak ada yang terlihat mencurigakan dari luar (yaitu, dari sisi tim USPD dan sisi pengguna). Mereka juga memanipulasi data peristiwa dan mengubah slot penyimpanan dengan cara yang membuat Etherscan menampilkan kontrak yang benar dan telah diaudit sebagai implementasi aktif.

Dengan melihat ini, kita dapat dengan jelas melihat bahwa para peretas dengan teliti melaksanakan setiap langkah secara diam-diam, tepat, dan hampir tidak mungkin terdeteksi secara real-time.

Tim USPD, di sisi lain, telah membagikan bahwa mereka bekerja sama dengan lembaga penegak hukum dan pakar keamanan siber untuk memastikan bahwa para peretas terungkap. Selain itu, dompet penyerang telah dilaporkan ke bursa terpusat dan terdesentralisasi utama untuk memblokir pergerakan aset yang dicuri.

Baca Juga: Departemen Kehakiman A.S. Menyita Domain Penipuan Kripto yang Terkait dengan Asia Tenggara