Протокол USPD подвергся сложной атаке с потерей примерно 232 stETH, злоумышленник выпустил 98 миллионов токенов USPD.

ChainCatcher сообщает, что официальные представители протокола USPD выпустили экстренное предупреждение о безопасности, подтвердив, что их протокол подвергся серьезной атаке из-за уязвимости, что привело к несанкционированному выпуску токенов и исчерпанию ликвидности.

Злоумышленник использовал продвинутую атаку под названием “CPIMP”, в ходе которой на этапе развертывания протокола предварительно инициализировал прокси и получил скрытые права администратора. Установив “теневую” реализацию и манипулируя данными событий, атакующий успешно обошёл инструменты верификации, включая Etherscan, и, скрываясь в течение нескольких месяцев, с помощью полученных прав выпустил около 98 миллионов USPD и похитил примерно 232 stETH. Команда USPD уже сотрудничает с правоохранительными органами и организациями по кибербезопасности, пометила адреса злоумышленника для заморозки средств и выразила готовность рассматривать инцидент как white hat-спасение: если будет возвращено 90% средств, правовые действия будут прекращены.