USPD 协议遭受通过 "CPIMP" 攻击向量的漏洞利用

• 尽管通过了Nethermind和Resonance的审计，USPD协议还是通过一种罕见的CPIMP漏洞被攻破。
• 攻击者利用不同的技术，使他们能够创建未经授权的代币并在不被发现的情况下抽走流动性。

几小时前，USPD团队确认发生了一次攻击，导致平台遭受未经授权的代币创建和流动性损失。

根据详细信息，这次漏洞并非来自协议智能合约设计的错误，而是由一种不寻常且极其复杂的方法引起的，这种方法被称为代理中间代理隐蔽攻击(Clandestine Proxy In the Middle of Proxy，CPIMP)。这是个复杂的概念？让我来解释一下。

黑客如何利用CIMP攻击USPD协议

在USPD启动之前，系统经过了两家不同的受尊敬的审计公司Nethermind和Resonance进行的广泛安全审查。在审计过程中，平台的每个部分都经过测试、检查和验证，当它启动时，架构遵循了典型的行业级安全实践，代码库的所有单元都通过了评估。

然而，尽管采取了高级流程，攻击者还是设法在9月16日渗透了部署过程。在部署过程中，攻击者成功地使用Multicall3交易精心执行了一次定时前置运行。

这一步使他们有机会在部署脚本到达最终确定所有权的步骤之前获得代理管理员角色的控制权。在他们成功获取控制权后，攻击者在代理后面插入了不同的实现。

另请阅读：币安币保持关键支撑位，市场信号指向可能的突破

通过这样做，该设置将每个请求转发到原始的、经过验证的合约。因此，从外部看（即USPD团队一方和用户一方）没有任何可疑之处。他们还操纵了事件数据并以一种方式更改了存储槽，使Etherscan显示正确的、经过审计的合约作为活跃的实现。

通过观察这一点，我们可以清楚地看到黑客精心地执行了每一步，悄无声息、精确且几乎不可能在实时中被检测到。

另一方面，USPD团队表示，他们正在与执法机构和网络安全专家合作，确保黑客被曝光。此外，攻击者的钱包已被报告给主要的中心化和去中心化交易所，以阻止被盗资产的流动。

另请阅读：美国司法部查封与东南亚有关的加密货币诈骗域名