分散型ステーブルコインプロトコルUSPDが100万ドルの不正利用を受ける

USPDは、攻撃者が数ヶ月前にプロキシコントラクトの制御を密かに獲得し、そのアクセスを使用して新しいトークンを作成し資金を流出させた後、深刻なセキュリティ侵害に直面しています。

USPDは12月5日にこの事件を公表し、この攻撃により攻撃者は約9800万USPDを作成し、約100万ドル相当の232 stETHを引き出すことができたと述べました。チームはユーザーに対し、さらなる通知があるまでトークンを購入せず、承認を取り消すよう促しました。

攻撃者は隠されたプロキシ制御を使用 

プロトコルは、監査されたスマートコントラクトロジックが障害の原因ではなかったことを強調しました。USPDによると、NethermindやResonanceなどの企業がコードをレビューし、内部テストでも期待される動作が確認されたとのことです。代わりに、侵害はチームが「CPIMP」攻撃と呼ぶものから発生しました。これはプロキシコントラクトのデプロイメントウィンドウを標的とする戦術です。

USPDによると、攻撃者は9月16日にMulticall3トランザクションを使用して初期化プロセスをフロントランしました。攻撃者はデプロイメントスクリプトが完了する前に介入し、管理者アクセスを獲得し、隠されたプロキシ実装を忍び込ませました。

ユーザー、監査人、さらにはEtherscanからも悪意のあるセットアップを隠すために、そのシャドウバージョンは監査済みのコントラクトに呼び出しを転送しました。

攻撃者がイベントデータを操作し、ストレージスロットを偽装したため、ブロックエクスプローラーは正当な実装を表示し、このカモフラージュは機能しました。これにより、攻撃者はプロキシをアップグレードしてプロトコルを枯渇させるトークン作成イベントを実行するまで、数ヶ月間完全に制御できました。

USPDは、資金を追跡し、さらなる移動を阻止するために、法執行機関、セキュリティ研究者、主要な取引所と協力していると述べました。チームは攻撃者に対し、標準的なバグ報奨金構造の下で資産の90％を返還する機会を提供し、資金が返還された場合、その行為をホワイトハット回収として扱うと述べています。

攻撃は重大な月に追加

USPD事件は、今年の攻撃が最も活発な期間の一つに発生し、12月の損失はすでに1億ドルを超えています。

韓国最大の取引所の一つであるUpbitは、今週初めにラザラスグループに関連する3000万ドルの侵害を確認しました。調査員によると、攻撃者は内部管理者を装ってアクセスを取得し、ラザラスに関連する盗難が今年10億ドルを超えるパターンを継続しています。

Yearn Financeも12月初めに、レガシーyETHトークンコントラクトに影響する攻撃に直面しました。攻撃者は無制限の作成を可能にするバグを利用し、1つのトランザクションで兆単位のトークンを生成し、約900万ドル相当の価値を流出させました。

一連の事件は、特にプロキシコントラクト、管理者キー、レガシーシステムを標的とするDeFi重視の攻撃における洗練度の高まりを浮き彫りにしています。セキュリティチームによると、プロトコルが単一障害点の影響を軽減しようとするにつれて、分散型マルチパーティ計算ツールと強化されたデプロイメントフレームワークへの関心が高まっているとのことです。