USPD Protokolü "CPIMP" Saldırı Vektörü Aracılığıyla Sömürüye Uğradı

• 儘管通過了 Nethermind 和 Resonance 的審計，USPD 協議仍然通過罕見的 CPIMP 漏洞被攻擊。
• 攻擊者利用不同技術，使他們能夠創建未經授權的代幣並在不被發現的情況下耗盡流動性。

幾小時前，USPD 團隊確認發生了一次攻擊，導致平台遭受未經授權的代幣創建和流動性損失。

根據詳細信息，這次漏洞並非來自協議智能合約設計的錯誤，而是由一種不尋常且極其複雜的方法引起的，稱為代理中的隱蔽代理（Clandestine Proxy In the Middle of Proxy，CPIMP）漏洞。這是個複雜的概念？讓我來解釋一下。

黑客如何利用 CIMP 攻擊 USPD 協議

在 USPD 啟動之前，系統經過了兩家不同且受人尊敬的審計公司 Nethermind 和 Resonance 進行的廣泛安全審查。在審計過程中，平台的每個部分都經過測試、檢查和驗證，啟動時，架構遵循了典型的行業級安全實踐，代碼庫的所有單元都通過了評估。

然而，儘管採取了高級流程，攻擊者仍然設法在 9 月 16 日滲透部署過程。在推出過程中，攻擊者成功使用 Multicall3 交易精心執行了定時前置運行。

這一步使他們有機會在部署腳本到達最終確定所有權的步驟之前獲得代理管理員角色的控制權。在成功控制後，攻擊者在代理後面插入了不同的實現。

另請閱讀：幣安幣保持關鍵支撐，市場信號指向可能的突破

通過這樣做，設置將每個請求轉發到原始的、經過驗證的合約。因此，從外部看（即 USPD 團隊和用戶方面）沒有任何可疑之處。他們還操縱事件數據並更改存儲槽，使 Etherscan 顯示正確的、經過審計的合約作為活動實現。

通過觀察這一點，我們可以清楚地看到黑客精心執行了每一步，悄無聲息、精確且幾乎不可能在實時中被檢測到。

另一方面，USPD 團隊表示，他們正在與執法機構和網絡安全專家合作，確保黑客被揭露。此外，攻擊者的錢包已被報告給主要的中心化和去中心化交易所，以阻止被盜資產的流動。

另請閱讀：美國司法部查封與東南亞有關的加密貨幣詐騙域名