USPD遭遇严重安全漏洞,攻击者通过代理合约盗取百万美元资产
USPD协议面临严重安全危机,一名攻击者于数月前悄然掌控其代理合约权限,通过该权限增发代币并转移资金。
事件概要
攻击者在协议部署过程中获取代理管理权限,导致未经授权的USPD代币增发及价值约100万美元的stETH资产外流。此次事件使近期加密货币交易所与去中心化金融协议遭受的损失总额进一步扩大。
USPD团队于12月5日披露,攻击者利用漏洞增发约9800万USPD代币,并转移232枚stETH(约合100万美元)。官方建议用户在另行通知前停止购买该代币并撤销所有授权。
隐藏代理控制攻击手法
协议方强调经审计的智能合约逻辑并非漏洞根源,Nethermind与Resonance等公司的代码审计及内部测试均显示合约运行正常。实际漏洞来源于团队所称的“CPIMP”攻击——针对代理合约部署窗口期的特殊攻击手段。
据分析,攻击者于9月16日通过Multicall3交易抢跑初始化流程,在部署脚本完成前获取管理权限并植入隐藏代理。为规避监测,该恶意合约将调用请求转发至已审计合约,并通过操纵事件数据与伪造存储槽使区块链浏览器显示合法实现方案,致使攻击者持续掌控系统达数月之久。
USPD表示正协同执法部门、安全研究机构及主流交易所追查资金流向。团队已按标准漏洞赏金流程向攻击者提出归还90%资产的建议,承诺若资金返还将视作白帽救援行为。
安全事件频发态势持续
本次事件发生正值今年加密资产安全危机高发期,仅12月累计损失已突破1亿美元。韩国最大交易所Upbit本周确认遭遇与拉撒路集团相关的3000万美元漏洞,调查显示攻击者通过伪装内部管理员实施作案,使该组织年内涉案金额超过10亿美元。
Yearn Finance亦在12月初遭遇传统yETH合约漏洞,攻击者利用无限增发缺陷单笔生成万亿代币,造成约900万美元损失。系列事件凸显DeFi攻击手段日趋复杂,特别是针对代理合约、管理密钥及遗留系统的攻击。安全团队指出,为降低单点故障影响,业界对去中心化多方计算工具及强化部署框架的关注度正在提升。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注