DeFi领域再遭重创:USPD遭遇重大漏洞利用
稳定币协议USPD遭遇重大安全漏洞,导致未经授权的代币增发、流动性池被掏空,预估被盗协议资金超过100万美元。这次攻击震撼了整个生态用户,在经历2025年一系列加密货币盗窃事件后,再次引发了对安全性的深切担忧。
新型攻击手法:CPIMP“代理中间人”漏洞
根据官方声明,攻击者使用了一种罕见的先进技术——CPIMP(代理层隐匿中间人)漏洞利用,这使得该事件成为本年度最复杂的加密货币黑客攻击案例之一。团队澄清此次事件并非由合约逻辑缺陷或初始漏洞导致。事实上,该协议此前已通过Nethermind和Resonance的全面审计。攻击者实际是在九月部署过程中,通过Multicall3交易在官方初始化前夺取了管理员权限。
为掩盖行踪,攻击者安装了影子实现合约,通过巧妙的调用转发指向经过审计的真实代码。通过操纵事件日志和存储槽,他们甚至使Etherscan显示出合法的实现地址。这套隐匿操作持续数月未被察觉,直至攻击者升级代理合约并增发近9800万USPD代币,最终导致协议资金被盗和流动性池枯竭。
应急响应与黑客谈判
在发出USPD账户被盗警报后,项目方立即联系交易所与执法部门,对攻击者钱包进行标记以阻止资产转移。平台采取了非常规举措——承诺若攻击者归还90%资金,将给予10%漏洞赏金,这种处理方式在大规模DeFi事件中正逐渐普及。
USPD漏洞加剧加密货币寒冬
此次事件发生时,分析师已将本月称为2025年数字资产安全形势最严峻的时期。CertiK数据显示,即便部分资金被追回,仅十一月加密货币损失已超过1.72亿美元。重大案例包括:Balancer(1.13亿美元)、Upbit(2980万美元)、Bex(1240万美元)以及Beets(380万美元)。多起事件中,攻击者不仅利用智能合约漏洞,还涉及私钥窃取、价格操纵策略和钓鱼攻击。
警惕协议层攻击新时代
本次事件最令人警醒之处并非损失金额,而是攻击手法。USPD漏洞利用未依赖合约错误或流动性漏洞,而是在部署阶段攻破代理层,预示着攻击者正转向更隐蔽的基础设施层级策略。这对DeFi建设者发出警示:即使通过审计的安全智能合约,在代理和部署层面仍可能存在脆弱性。
结语
随着当局展开调查且技术团队准备完整报告,该事件很可能成为2025年加密货币盗窃的关键研究案例,也将成为协议防御不可见部署漏洞的转折点。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注