Неизвестный злоумышленник успешно опустошил DeFi-протокол USPD, совершив атаку на сумму около $1 млн в криптоактивах, используя при этом крайне сложный и скрытный вектор. Согласно отчету команды USPD, хакеру удалось внести залог в размере 3122 ETH, после чего он выпустил 98 млн токенов USPD всего за одну транзакцию. В результате, сумма созданных токенов более чем в десять раз превысила первоначальный депозит, причем хакер также получил дополнительно 237 stETH.

Для проведения атаки использовался сложный вектор, получивший название CPIMP (Clandestine Proxy In the Middle of Proxy). Команда USPD уточнила, что злоумышленник получил контроль над прокси-сервером несколько месяцев назад и 16 сентября запустил процесс инициализации с помощью транзакции Multicall3. Хакер применил CPIMP для скрытного получения административных прав и полного осуществления скриптов протокола, что позволило ему беспрепятственно начать несанкционированный выпуск токенов и опустошить протокол.

Чтобы полностью скрыть вредоносную настройку от пользователей, аудиторов и даже обозревателя блокчейна Etherscan, злоумышленник внедрил теневой контракт, который перенаправлял вызовы на проверяемый контракт. Замаскировавшись таким способом, хакер манипулировал данными событий и подделывал слоты хранения, благодаря чему обозреватели блоков отображали исполнение безопасного контракта. Это обеспечило хакеру полный контроль над смарт-контрактом в течение нескольких месяцев до момента, когда он обновил прокси-сервер и выпустил токены.

Украденные криптоактивы злоумышленник обменял на $300 000 стейблкоинов USDC через децентрализованную биржу Curve. Обнаружив критическую уязвимость, разработчики USPD немедленно призвали клиентов не покупать стейблкоины USPD и отозвать все ранее выданные разрешения на работу с протоколом. Команда USPD заявила, что привлекла к расследованию инцидента и отслеживанию движения средств правоохранителей, специалистов по безопасности и крупные биржи. Разработчики также предложили злоумышленнику вернуть 90% активов в качестве вознаграждения за обнаружение уязвимости, что позволило бы ему считаться белым хакером. По данным аналитиков PeckShield, в ноябре убытки криптовалютных проектов от хакерских атак превысили $194 млн, что на 969% больше, чем в октябре, когда потери составили $18 млн.