去中心化稳定币协议 USPD 遭受 100 万美元漏洞攻击

USPD 正面临严重的安全漏洞，一名攻击者几个月前悄悄获取了其代理合约的控制权，并利用该访问权限铸造新代币并耗尽资金。

USPD 于 12 月 5 日披露了该事件，称该漏洞使攻击者能够铸造约 9800 万个 USPD 并移除约 232 个 stETH，价值约 100 万美元。团队敦促用户不要购买该代币，并在进一步通知前撤销授权。

攻击者使用隐藏的代理控制 

该协议强调，其经过审计的智能合约逻辑并非故障源头。USPD 表示，Nethermind 和 Resonance 等公司已审查了代码，内部测试也确认了预期行为。相反，漏洞来自团队描述为"CPIMP"攻击的方式，这是一种针对代理合约部署窗口的策略。

根据 USPD 的说法，攻击者于 9 月 16 日使用 Multicall3 交易抢先执行了初始化过程。攻击者在部署脚本完成前介入，获取了管理员访问权限，并植入了隐藏的代理实现。

为了使恶意设置对用户、审计员甚至 Etherscan 保持隐藏，该影子版本将调用转发到经过审计的合约。

这种伪装之所以有效，是因为攻击者操纵了事件数据并伪造了存储槽，使区块浏览器显示合法实现。这使攻击者完全控制了数月，直到他们升级代理并执行了耗尽协议的铸币事件。

USPD 表示正在与执法部门、安全研究人员和主要交易所合作追踪资金并阻止进一步转移。团队已向攻击者提供了在标准漏洞赏金结构下返还 90% 资产的机会，表示如果资金被送回，将视此行为为白帽恢复。

漏洞增加了本月的严重事件

USPD 事件发生在今年另一个漏洞活跃期间，12 月的损失已超过 1 亿美元。

韩国最大交易所之一 Upbit 本周早些时候确认了与 Lazarus 集团有关的 3000 万美元漏洞。调查人员表示，攻击者冒充内部管理员获取访问权限，延续了一种模式，使 Lazarus 相关盗窃今年已超过 10 亿美元。

Yearn Finance 也面临 12 月初影响其传统 yETH 代币合约的漏洞。攻击者利用允许无限铸造的漏洞，在一次交易中生产了数万亿代币，耗尽了约 900 万美元的价值。

这一系列事件突显了 DeFi 攻击日益复杂，特别是针对代理合约、管理员密钥和传统系统的攻击。安全团队表示，随着协议寻求减少单点故障的影响，去中心化多方计算工具和强化部署框架的兴趣正在增加。