Стабільний протокол USPD зазнав серйозної вразливості безпеки, втрачено близько 1 мільйона доларів США.

ChainCatcher повідомляє, що за ринковими даними стейблкоїн-проєкт USPD зазнав серйозної вразливості безпеки, внаслідок чого втрачено близько 1 мільйона доларів США. Офіційні представники USPD підтвердили, що протокол було використано зловмисниками: атакуючий несанкціоновано здійснив емісію токенів і вивів ліквідність. Офіційно терміново закликають користувачів негайно відкликати всі дозволи на токени для контракту USPD.

Протокол USPD підтвердив атаку типу “CPIMP”: під час розгортання атакуючий через Multicall3 випередив ініціалізацію проксі, захопив права адміністратора та замаскувався під контракт, що пройшов аудит. Офіційно заявлено, що проблема не є вразливістю контракту, а логіка була прихована кілька місяців, після чого проксі було оновлено, емісовано близько 98M USPD і переведено близько 232 stETH. USPD вже закликав користувачів негайно відкликати всі дозволи та оприлюднив адреси атакуючих: 0x7C97…9d83 (Infector), 0x0833…215A (Drainer). Наразі ведеться співпраця з правоохоронцями та білими хакерами для відстеження, а також обіцяно винагороду у розмірі 10% за повернення коштів.