Protokół stablecoin USPD doświadczył poważnej luki bezpieczeństwa, tracąc około 1 miliona dolarów.

ChainCatcher donosi, że według informacji rynkowych projekt stablecoina USPD doświadczył poważnej luki bezpieczeństwa, w wyniku której stracił około 1 miliona dolarów. Oficjalne źródła USPD potwierdziły, że protokół został wykorzystany – atakujący nieautoryzowanie wybił tokeny i wycofał płynność. Oficjalnie pilnie przypomniano użytkownikom o natychmiastowym cofnięciu wszystkich autoryzacji tokenów dla kontraktu USPD.

Protokół USPD potwierdził, że padł ofiarą ataku „CPIMP”. Atakujący podczas fazy wdrażania wykorzystał Multicall3, aby jako pierwszy zainicjować proxy, przejąć uprawnienia administratora i podszyć się pod zatwierdzony przez audyt kontrakt implementacyjny. Według oficjalnych informacji, problem nie wynikał z luki w logice kontraktu, lecz po kilku miesiącach ukrywania się, atakujący zaktualizował proxy, wybił około 98M USPD i przetransferował około 232 stETH. USPD zaapelował do użytkowników o natychmiastowe cofnięcie wszystkich autoryzacji oraz opublikował adresy atakujących: 0x7C97…9d83 (Infector), 0x0833…215A (Drainer). Trwają działania śledcze we współpracy z organami ścigania i white hatami, a za zwrot środków przewidziano nagrodę w wysokości 10%.