Protocole de stablecoin décentralisé USPD touché par une exploitation de 1 M$

USPD fait face à une grave faille de sécurité après qu'un attaquant a discrètement pris le contrôle de son contrat proxy il y a plusieurs mois et a utilisé cet accès pour frapper de nouveaux tokens et drainer des fonds.

USPD a révélé l'incident le 5 décembre, indiquant que l'exploitation a permis à un attaquant de frapper environ 98 millions d'USPD et de retirer environ 232 stETH, d'une valeur d'environ 1 million de dollars. L'équipe a exhorté les utilisateurs à ne pas acheter le token et à révoquer les approbations jusqu'à nouvel ordre.

Les attaquants ont utilisé un contrôle proxy caché 

Le protocole a souligné que la logique de son smart contract audité n'était pas la source de l'échec. USPD a déclaré que des entreprises comme Nethermind et Resonance avaient examiné le code, et les tests internes ont confirmé le comportement attendu. Au lieu de cela, la faille provenait de ce que l'équipe a décrit comme une attaque "CPIMP", une tactique qui cible la fenêtre de déploiement d'un contrat proxy.

Selon USPD, l'attaquant a devancé le processus d'initialisation le 16 septembre en utilisant une transaction Multicall3. L'attaquant est intervenu avant la fin du script de déploiement, a saisi l'accès administrateur et a glissé une implémentation proxy cachée.

Afin de garder la configuration malveillante cachée des utilisateurs, des auditeurs et même d'Etherscan, cette version fantôme transmettait les appels au contrat audité.

Le camouflage a fonctionné car l'attaquant a manipulé les données d'événements et falsifié les emplacements de stockage pour que les explorateurs de blocs affichent l'implémentation légitime. Cela a laissé l'attaquant en plein contrôle pendant des mois jusqu'à ce qu'il mette à jour le proxy et exécute l'événement de minting qui a drainé le protocole.

USPD a déclaré travailler avec les forces de l'ordre, les chercheurs en sécurité et les principales plateformes d'échange pour tracer les fonds et arrêter tout mouvement supplémentaire. L'équipe a offert à l'attaquant une chance de restituer 90% des actifs dans le cadre d'une structure standard de prime aux bugs, indiquant qu'elle traiterait cette action comme une récupération whitehat si les fonds étaient renvoyés.

L'exploitation s'ajoute à un mois chargé

L'incident USPD survient pendant l'une des périodes les plus actives pour les exploitations cette année, avec des pertes en décembre dépassant déjà 100 millions de dollars.

Upbit, l'une des plus grandes plateformes d'échange de Corée du Sud, a confirmé une faille de 30 millions de dollars liée au Groupe Lazarus plus tôt cette semaine. Les enquêteurs affirment que les attaquants se sont fait passer pour des administrateurs internes pour obtenir l'accès, poursuivant un schéma qui a poussé les vols liés à Lazarus au-dessus d'1 milliard de dollars cette année.

Yearn Finance a également fait face à une exploitation début décembre affectant son contrat de token yETH hérité. Les attaquants ont utilisé un bug qui permettait un minting illimité, produisant des billions de tokens en une seule transaction et drainant environ 9 millions de dollars en valeur.

La série d'incidents met en évidence la sophistication croissante des attaques centrées sur la DeFi, particulièrement celles qui ciblent les contrats proxy, les clés d'administrateur et les systèmes hérités. Les équipes de sécurité indiquent que l'intérêt augmente autour des outils de calcul multi-parties décentralisés et des cadres de déploiement renforcés, alors que les protocoles cherchent à réduire l'impact des défaillances à point unique.