交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
去中心化金融协议USPD遭遇安全漏洞
去中心化金融协议US Permissionless Dollar遭遇安全漏洞,导致其稳定币被未经授权增发,并造成超百万美元流动性资金被抽空。根据USPD团队官方X账号发布的事件报告,攻击者存入约3122枚ETH作为抵押品,并利用系统漏洞在单笔交易中铸造了约9800万枚USPD代币。
攻击手法分析
该操作使攻击者获得的代币数量达到初始抵押品的十倍,黑客还借此抽走了额外的237枚stETH抵押资产。被盗稳定币随后通过去中心化交易所Curve转换为价值约30万美元的USDC。在确认漏洞后,USPD协议开发人员与PeckShield Alert等网络安全账户立即向用户发出警告:“我们确认USPD协议存在严重漏洞,导致未经授权的代币铸造和流动性抽空。请勿购买USPD,立即撤销所有授权。”
协议报告指出,此次攻击利用了名为“CPIMP”的复杂攻击向量。USPD解释称,攻击者于9月16日部署期间通过多调用交易抢先完成代理初始化,在协议脚本完全执行前悄然获取管理权限,潜伏数月后开始非法铸币。攻击者部署了“影子”合约,将调用转发至经过审计的USPD代码,随后通过事件载荷操纵和存储槽欺骗手段使以太坊浏览器显示原始审计合约。
区块链分析师Emmet Gallic重申了该分析,补充说明代理初始化过程在部署期间引发了攻击。“攻击者获取管理员权限,安装欺骗以太坊浏览器显示已审计合约的影子实现。该协议实际上已被黑客控制数月。”他总结道。
后续处理与行业影响
针对此次攻击,USPD表示正与执法部门和白帽安全组织紧密合作追踪冻结被盗资金。“我们已向所有主流中心化与去中心化交易所标记攻击者地址以阻断资金流动。”团队透露。协议方同时声明,若攻击者归还扣除10%标准漏洞赏金后的资金,愿意就此了结事件。若接受提议,将停止所有执法行动,并鼓励攻击者直接联系或归还90%被盗资产。
USPD向社区表示:“尽管经过严格审计并遵循最佳实践,我们仍成为这种新兴复杂攻击向量的受害者,对此深感痛心。我们正在全力追回资产。”根据CoinMarketCap数据,该稳定币与美元的锚定迄今未受影响,但其交易量在24小时内下降20%至约256万美元。
DeFi稳定币协议安全事件此前曾有更大规模案例,例如2023年Euler Finance遭黑客攻击,其借贷资金池被抽空后损失超过1.97亿美元。去年11月遭遇攻击的两个DeFi协议已进入恢复阶段:Yearn Finance的流动性质押指数代币yETH遭利用,攻击者铸造了无限量代币并盗取约300万美元ETH。该协议11月30日曾在yETH稳定兑换池遭受900万美元损失,但目前已开始追回被盗资金,成功收回239万美元将返还受影响的存款人。另一协议Balancer因v2版本漏洞损失1.28亿美元,上周宣布计划向流动性提供者补偿约800万美元。
