Согласно отчету команды USPD в соцсети X, неизвестный внес залог на 3122 ETH и выпустил 98 млн токенов USPD за одну транзакцию. В результате сумма созданных токенов в десять раз превысила первоначальный депозит, причем хакер получил дополнительно 237 stETH. Украденные криптоактивы он обменял на 300 000 стейблкоинов USDC через децентрализованную биржу Curve. Обнаружив критическую уязвимость в протоколе, разработчики USPD призвали клиентов не покупать стейблкоины USPD и немедленно отозвать все разрешения.
Команда протокола уточнила: для взлома использовался сложный вектор атаки под названием CPIMP (Clandestine Proxy In the Middle of Proxy). Злоумышленник получил контроль над прокси-сервером несколько месяцев назад. 16 сентября он запустил процесс инициализации с помощью транзакции Multicall3. Хакер использовал CPIMP для скрытого получения административных прав и полного осуществления скриптов протокола, чтобы затем начать несанкционированный выпуск токенов.
Чтобы скрыть вредоносную настройку от пользователей, аудиторов и даже обозревателя блокчейна Эфириума Etherscan, неизвестный внедрил теневой контракт, перенаправлявший вызовы на проверяемый контракт. Замаскировавшись таким способом, злоумышленник манипулировал данными событий и подделывал слоты хранения, чтобы обозреватели блоков отображали исполнение безопасного контракта. Это позволило хакеру полностью контролировать смарт-контракт в течение нескольких месяцев, пока он не обновил прокси-сервер и не выпустил токены для истощения протокола.
Команда USPD заявила, что привлекла к расследованию инцидента и отслеживанию движения средств правоохранителей, специалистов по безопасности и крупные биржи. Разработчики USPD предложили злоумышленнику вернуть 90% активов в качестве вознаграждения за обнаружение багов — тогда злоумышленник будет считаться белым хакером.
По данным аналитиков PeckShield, в ноябре убытки криптовалютных проектов от хакерских атак превысили $194 млн. Это на 969% больше, чем в октябре, когда потери составили $18 млн.