美國警察局穩定幣協議遭黑客攻擊事件如何暴露了一起復雜的秘密代理攻擊
隨著新的鏈上數據和安全分析不斷湧現,調查人員仍在努力拼湊出 USPD 穩定幣協議是如何被掏空的。
概括
- 美國郵政總局(USPD)超過100萬美元的流動資金被抽走。
- 此次入侵事件中使用的是秘密代理攻擊方法。
- 美國警方展開調查,並與襲擊者展開對話。
- 其他DeFi協議仍在從11月的漏洞攻擊中恢復。
美國郵政總局(USPD)超過100萬美元的流動資金被抽走。
這去中心化金融協議遭受了嚴重的安全漏洞,導致損失超過流動性方面。 根據協議團隊官方賬號上分享的事件報告,攻擊者向賬戶存入了大約作為平台上的抵押品。
報告指出,攻擊者隨後利用這些抵押品觸發了一個漏洞,使其能夠鑄造大約單筆交易中代幣數量激增。 此外,錯誤的邏輯導致生成的代幣數量約為原始存款金額的十倍,極大地增加了代幣供應量,並破壞了系統的經濟假設。
這個過程也為攻擊者提供了一條竊取額外資金的途徑。從協議的抵押池中被盜的穩定幣隨後被兌換成約價值通過去中心化交換安全分析師稱之為流動性快速退出。 然而,大部分已發行的代幣仍然是當前關注的焦點。努力。
USPD開發人員和多個網絡安全監控帳戶,包括漏洞確認後,團隊迅速向用戶發出警告。 團隊敦促社區成員:“請不要購買 USPD。立即撤銷所有授權。”他們強調,該協議已經遭受了雙重打擊。以及重大的治理妥協。
此次入侵事件中使用的是秘密代理攻擊方法。
該協議的技術報告稱,此次漏洞利用了一種名為“複雜向量”的攻擊途徑。的縮寫美國警察局解釋說,襲擊者搶先一步……代理初始化在部署期間使用交易目的是在設置過程中植入惡意步驟。
利用這種方法,攻擊者在部署腳本完全執行之前悄無聲息地獲取了管理員權限。 然而,他們並沒有立即採取行動,而是等待了數月才開始未經授權地鑄造代幣。 攻擊者部署了一個“影子”實現合約,該合約會將所有調用轉發到用熟悉的界面掩蓋惡意更改。
在這個隱藏的實現過程中,攻擊者逐步引入了事件有效載荷操縱和存儲槽欺騙。 這種組合欺騙了……即使實時代理指向的是他們自己植入後門的邏輯,攻擊者仍然顯示原始的經審計的合約。 美國郵政署表示,這種偽裝“使攻擊者得以在眾目睽睽之下隱藏數月,繞過驗證工具和人工檢查”,最終升級代理,鑄造了約9800萬美國郵政幣,並竊取了大約.
一個區塊鏈分析師稍後這與協議團隊對事件的分析相呼應。 根據他們的帖子,部署期間代理初始化存在缺陷,導致攻擊打開了方便之門:攻擊者獲取了管理員權限,安裝了影子合約,並使用元數據欺騙技術,使得區塊瀏覽器繼續顯示看似安全的、經過審計的合約。 然而,在這層偽裝之下,明確表明特權鑄幣邏輯已被顛覆。
美國警方展開調查,並與襲擊者展開對話。
事件發生後,美國警察局立即表示,他們正在與執法機構和白帽黑客組織合作。 安全組到追踪資金流向並儘可能凍結資產。 “我們已將攻擊者的地址標記在所有主要係統中。”和“凍結資金流動,”該團隊寫道,這表明他們對此事做出了協調一致的回應。.
與此同時,該協議表明了尋求……的意願與其採取純粹的懲罰措施,不如公開提出和解方案。 如果攻擊者歸還資金(扣除標準的10%漏洞賞金),美國警察局將同意和解。 此外,美國警察局承諾,如果攻擊者接受和解方案,並直接聯繫美國警察局或在鏈上歸還90%的被盜資產,美國警察局將停止一切執法行動。
該協議向其成員發表的聲明既表達了沮喪,也體現了決心。 “儘管我們進行了嚴格的審計並遵循了最佳實踐,但我們仍然成為了這種新興且高度複雜的攻擊手段的受害者,這讓我們感到非常痛心。我們正在竭盡全力追回資產,”美國警察局表示,並將此案描述為對不斷演變的複雜攻擊手段的嚴峻警告。技術。
根據協議的原生迄今為止,該貨幣一直維持著與美元掛鉤的既定匯率制度。 然而,交易活動已明顯走弱,24小時成交量下降大約分析師指出,如果市場信心進一步減弱,次級流動性壓力仍可能出現。
其他DeFi協議仍在從11月的漏洞攻擊中恢復。
USPD事件發生之際,多家去中心化金融平台仍在從各自嚴重的安全漏洞中恢復。 上週一,披露了一個影響其流動性質押指數代幣的漏洞其中,攻擊者鑄造了數量幾乎無限的代幣,並竊取了大約在.
Yearn Finance此前已經經歷過一次單獨的在其 yETH 穩定交換池中存在漏洞然而,該團隊已開始收回資金。 到目前為止,它已成功恢復了約這筆款項將作為結構化補救計劃的一部分,返還給受影響的儲戶。
其他DeFi項目,在遭受 v2 漏洞攻擊後,該公司也處於恢復模式,該漏洞造成了約 10 ...該協議已宣布計劃報銷約對流動性提供者而言。 此外,這些備受矚目的案例,加上 USPD 漏洞利用,進一步強化了人們對更健全的代理初始化程序的呼籲。 鏈上驗證標準整個行業。
總的來說,USPD 黑客事件凸顯了高級代理漏洞利用、複雜的部署競爭和流動性耗盡策略如何重塑 defi 穩定幣協議的風險狀況,即使它們已經過嚴格的審計。
