随着新的链上数据和安全分析不断涌现,调查人员仍在努力拼凑出 USPD 稳定币协议是如何被掏空的。
概括
- 美国邮政总局(USPD)超过100万美元的流动资金被抽走。
- 此次入侵事件中使用的是秘密代理攻击方法。
- 美国警方展开调查,并与袭击者展开对话。
- 其他DeFi协议仍在从11月的漏洞攻击中恢复。
美国邮政总局(USPD)超过100万美元的流动资金被抽走。
这 去中心化金融 协议 美国无需许可美元 遭受了严重的安全漏洞,导致 未经授权的稳定币铸造 损失超过 100万美元 流动性方面。根据协议团队官方账号上分享的事件报告, X 攻击者向账户存入了大约 3,122 以太坊 作为平台上的抵押品。
报告指出,攻击者随后利用这些抵押品触发了一个漏洞,使其能够铸造大约 9800万美国公元 单笔交易中代币数量激增。此外,错误的逻辑导致生成的代币数量约为原始存款金额的十倍,极大地增加了代币供应量,并破坏了系统的经济假设。
这个过程也为攻击者提供了一条窃取额外资金的途径。 237 stETH 从协议的抵押池中被盗的稳定币随后被兑换成约 30万美元 价值 美国财政部 通过去中心化 交换 曲线 安全分析师称之为流动性快速退出。然而,大部分已发行的代币仍然是当前关注的焦点。 追查被盗资金 努力。
USPD开发人员和多个网络安全监控帐户,包括 PeckShield 警报 漏洞确认后,团队迅速向用户发出警告。团队敦促社区成员:“请不要购买 USPD。立即撤销所有授权。”他们强调,该协议已经遭受了双重打击。 流动性枯竭 以及重大的治理妥协。
此次入侵事件中使用的是秘密代理攻击方法。
该协议的技术报告称,此次漏洞利用了一种名为“复杂向量”的攻击途径。 CPIMP 的缩写 秘密代理人在代理过程中 美国警察局解释说,袭击者抢先一步…… 代理初始化 在部署期间 9月16日 使用 多路调用3 交易目的是在设置过程中植入恶意步骤。
利用这种方法,攻击者在部署脚本完全执行之前悄无声息地获取了管理员权限。然而,他们并没有立即采取行动,而是等待了数月才开始未经授权地铸造代币。攻击者部署了一个“影子”实现合约,该合约会将所有调用转发到 美国警察局经审计的代码 用熟悉的界面掩盖恶意更改。
在这个隐藏的实现过程中,攻击者逐步引入了事件有效载荷操纵和存储槽欺骗。这种组合欺骗了…… 以太坊扫描 即使实时代理指向的是他们自己植入后门的逻辑,攻击者仍然显示原始的经审计的合约。美国邮政署表示,这种伪装“使攻击者得以在众目睽睽之下隐藏数月,绕过验证工具和人工检查”,最终升级代理,铸造了约9800万美国邮政币,并窃取了大约 232 stETH .
一个 区块链分析师稍后 这与协议团队对事件的分析相呼应。根据他们的帖子,部署期间代理初始化存在缺陷,导致攻击打开了方便之门:攻击者获取了管理员权限,安装了影子合约,并使用元数据欺骗技术,使得区块浏览器继续显示看似安全的、经过审计的合约。然而,在这层伪装之下, cpimp漏洞利用详情 明确表明特权铸币逻辑已被颠覆。
美国警方展开调查,并与袭击者展开对话。
事件发生后,美国警察局立即表示,他们正在与执法机构和白帽黑客组织合作。 安全组 到 追踪资金流向 并尽可能冻结资产。“我们已将攻击者的地址标记在所有主要系统中。” 中央交易所 和 右美沙芬 “冻结资金流动,”该团队写道,这表明他们对此事做出了协调一致的回应。 美国邮政局协议破解 .
与此同时,该协议表明了寻求……的意愿 漏洞赏金谈判 与其采取纯粹的惩罚措施,不如公开提出和解方案。如果攻击者归还资金(扣除标准的10%漏洞赏金),美国警察局将同意和解。此外,美国警察局承诺,如果攻击者接受和解方案,并直接联系美国警察局或在链上归还90%的被盗资产,美国警察局将停止一切执法行动。
该协议向其成员发表的声明既表达了沮丧,也体现了决心。“尽管我们进行了严格的审计并遵循了最佳实践,但我们仍然成为了这种新兴且高度复杂的攻击手段的受害者,这让我们感到非常痛心。我们正在竭尽全力追回资产,”美国警察局表示,并将此案描述为对不断演变的复杂攻击手段的严峻警告。 秘密代理攻击 技术。
根据 CoinMarketCap 协议的原生 USPD稳定币 迄今为止,该货币一直维持着与美元挂钩的既定汇率制度。然而, 交易活动已 明显走弱,24小时成交量下降 20% 大约 256万美元 分析师指出,如果市场信心进一步减弱,次级流动性压力仍可能出现。
其他DeFi协议仍在从11月的漏洞攻击中恢复。
USPD事件发生之际,多家去中心化金融平台仍在从各自严重的安全漏洞中恢复。上周一, Yearn Finance 披露了一个影响其流动性质押指数代币的漏洞 yETH 其中,攻击者铸造了数量几乎无限的代币,并窃取了大约 300万美元 在 ETH .
Yearn Finance此前已经经历过一次单独的 900万美元 在其 yETH 稳定交换池中存在漏洞 11月30日 然而,该团队已开始收回资金。到目前为止,它已成功恢复了约 239万美元 这笔款项将作为结构化补救计划的一部分,返还给受影响的储户。
其他 DeFi项目 , 平衡器 在遭受 v2 漏洞攻击后,该公司也处于恢复模式,该漏洞造成了约 10 … 1.28亿美元 该协议已宣布计划报销约 800万美元 对流动性提供者而言。此外,这些备受瞩目的案例,加上 USPD 漏洞利用,进一步强化了人们对更健全的代理初始化程序的呼吁。 链上验证标准 整个行业。
总的来说,USPD 黑客事件凸显了高级代理漏洞利用、复杂的部署竞争和流动性耗尽策略如何重塑 DeFi 稳定币协议的风险状况,即使它们已经过严格的审计。
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈
发布者:币下载 转转请注明出处:https://www.paipaipay.cn/289219.html
