Le protocole de stablecoin USPD a subi une faille de sécurité majeure, entraînant une perte d'environ 1 million de dollars.

Selon ChainCatcher, d'après des informations du marché, le projet de stablecoin USPD a subi une faille de sécurité majeure, entraînant une perte d'environ 1 million de dollars. L'équipe officielle de USPD a confirmé que le protocole avait été exploité, l'attaquant ayant frappé des tokens sans autorisation et vidé la liquidité. L'équipe officielle a urgemment averti les utilisateurs de révoquer immédiatement toutes les autorisations de tokens accordées au contrat USPD.

Le protocole USPD a confirmé avoir subi une attaque dite “CPIMP”, où l'attaquant, lors de la phase de déploiement, a utilisé Multicall3 pour initialiser en avance le proxy, s'emparer des droits d'administrateur et se faire passer pour un contrat d'implémentation audité. Selon l'équipe officielle, il ne s'agit pas d'une faille du contrat, mais l'attaquant a caché sa présence pendant plusieurs mois, puis a mis à jour le proxy, frappé environ 98 millions de USPD et transféré environ 232 stETH. USPD a demandé aux utilisateurs de révoquer immédiatement toutes les autorisations et a publié les adresses des attaquants : 0x7C97…9d83 (Infector), 0x0833…215A (Drainer). Ils collaborent actuellement avec les forces de l'ordre et des white hats pour le traçage, et promettent une récompense de 10% pour la restitution des fonds.