هاكر يصك 98 مليون توكن في استغلال USPD

وفقًا لتقرير الحادث المنشور على الحساب الرسمي لفريق USPD على X، قام أحد المتسللين بإيداع حوالي 3122 ETH كضمان، ثم استغل ثغرة في النظام. سمحت هذه الثغرة للمهاجم بإنشاء حوالي 98 مليون توكن USPD في معاملة واحدة.

وبذلك حصل المخترق على عشرة أضعاف الرموز التي دفعها. ثم سحب أيضًا 237 stETH. وقام بتحويل العملات المستقرة المسروقة إلى حوالي 300000 دولار من USDC عبر بورصة Curve.

بعد ذلك بوقت قصير، حذر مطورو USPD جميع المستخدمين. وفقًا لهم، تم اكتشاف ثغرة كبيرة ودعوا الجميع إلى عدم شراء USPD وسحب جميع أذونات المعاملات.

كيف خدع المخترق النظام؟

تشرح USPD أن الهجوم استخدم طريقة معقدة تسمى CPIMP. استولى المخترق على بروكسي أثناء تثبيت البروتوكول. قام بذلك في 16 سبتمبر عبر معاملة Multicall3.

باستخدام هذه الحيلة، حصل سراً على حقوق المسؤول، حتى قبل أن ينتهي البروتوكول من التثبيت. بعد ذلك، انتظر المخترق عدة أشهر. استخدم ”عقدًا ظلًا“ يشبه الكود العادي المدقق، مما جعل كل شيء يبدو طبيعيًا على Etherscan.

كتبت USPD أن هذا التمويه جعل المخترق يظل غير مرئي لفترة طويلة. عندما هاجم، تمكن من تعديل الوكيل، وسحب 98 مليون USPD و 232 stETH. أكد المحلل Emmet Gallic أن الخطأ حدث بسبب فشل تهيئة الوكيل أثناء نشر البروتوكول.

التحقيق ومكافأة اكتشاف الأخطاء

أشارت USPD إلى أنها تتعاون حاليًا مع الشرطة ومجموعات الأمن. إنهم يحاولون حظر الأموال المسروقة، وقد تم الإبلاغ عن عناوين المخترق إلى بورصات العملات المشفرة الكبرى. يقول الفريق إنه يرغب في حل القضية إذا أعاد المخترق 90٪ من الأموال. يمكن للمخترق الاحتفاظ بالـ 10٪ المتبقية كمكافأة على اكتشاف الأخطاء. إذا فعل ذلك، ستوقف USPD جميع الإجراءات القانونية.

قالت USPD إنها تعرضت لهذه الهجمة الجديدة والمعقدة على الرغم من عمليات التدقيق والأمن الجيد. يعمل الفريق على استرداد الأموال المسروقة. لا تزال العملة المستقرة مرتبطة بالدولار في الوقت الحالي، لكن حجم التداول انخفض بنسبة 20٪ مقارنة بما كان عليه قبل 24 ساعة.

هجمات التمويل اللامركزي أخرى حديثة

في عام 2023، تعرضت إيولر فاينانس لهجوم، مما أدى إلى خسارة أكثر من 197 مليون دولار. وفي الأسبوع الماضي، تعرضت ييرن فاينانس لهجوم. تمكن المهاجم من إنشاء عدد غير محدود من توكنات yETH وسرق حوالي 3 ملايين دولار من ETH. لا تزال ييرن تتعافى من هجوم سابق، حيث سُرق 9 ملايين دولار. حتى الآن، استرد الفريق 2.39 مليون دولار.

أعلنت Balancer، التي خسرت 128 مليون دولار بسبب اختراق، أنها ستعيد حوالي 8 ملايين دولار إلى المستخدمين.