صدمة في DeFi: اختراق صامت لـ USPD يكشف عملية استيلاء خفية استمرت 3 أشهر وانتهت بسرقة مليون دولار

أعلنت USPD عن تعرضها لاختراق خطير بعد اكتشاف سيطرة مهاجم على عقد البروكسي الخاص بالبروتوكول لعدة أشهر دون أن يلفت الانتباه، ما مكّنه من سكّ ملايين الرموز الرقمية وسحب أصول تزيد قيمتها عن مليون دولار قبل انكشاف الهجوم.

وقالت المنصة، في بيان في 5 ديسمبر، إن المهاجم قام بسكّ نحو 98 مليون USPD وسحب 232 stETH تُقدَّر قيمتها بنحو 1 مليون دولار. وحذّرت المستخدمين من شراء الرمز خلال الفترة الحالية، داعيةً إلى إلغاء أي موافقات مرتبطة به إلى حين انتهاء التحقيقات.

وأكد الفريق أن العقود الذكية الأساسية لم تكن مصدر الخلل، مشيرًا إلى أنها خضعت لتدقيق من شركات مثل Nethermind وResonance، وأن الاختراق جاء عبر هجوم دقيق يُعرف باسم CPIMP يستهدف نافذة نشر عقد البروكسي. ووفق التحقيقات، فقد نفّذ المهاجم عملية front-running لمرحلة التهيئة في 16 سبتمبر مستخدمًا معاملة Multicall3، واستحوذ على صلاحيات المشرف قبل اكتمال عملية النشر، ليزرع نسخة خبيثة مخفية من تطبيق البروكسي.

ولإخفاء وجوده، تلاعب المهاجم ببيانات الأحداث وخانات التخزين، الأمر الذي جعل متصفحات البلوكشين تعرض التنفيذ الشرعي بدل النسخة الخبيثة. وسمح ذلك له بالتحكم الكامل في البروتوكول لثلاثة أشهر، قبل أن يقوم بالترقية الخبيثة وتنفيذ عملية السكّ التي استنزفت الأموال.