عانى بروتوكول التمويل اللامركزي US Permissionless Dollar من خرق أمني أدى إلى سك غير مصرح به لعملته المستقرة واستنزاف أكثر من مليون دولار من السيولة.
وفقًا لتقريرdent من حساب X الرسمي لفريق USPD، قام المهاجم بإيداع ما يقرب من 3122 ETH كضمان واستغل خطأً سمح له بسك ما يقرب من 98 مليون رمز USPD في معاملة واحدة.
أنتجت العملية عشرة أضعاف كمية الرموز المُودعة في البداية، مما مكّن المخترق من سحب 237 stETH إضافية. ثم حُوِّلت العملات المستقرة المسروقة إلى ما يقارب 300,000 دولار أمريكي من USDC عبر منصة التداول اللامركزية Curve.
أصدر مطورو بروتوكول USPD والعديد من حسابات الأمن السيبراني، مثل PeckShield Alert، تحذيرًا للمستخدمين فورًا بعدdentالاختراق، قائلين:
لقد تأكدنا من وجود استغلال خطير لبروتوكول USPD، مما أدى إلى سكّ غير مصرح به واستنزاف السيولة. يُرجى عدم شراء USPD. يُرجى إلغاء جميع الموافقات فورًا.
استغل أحد قراصنة USPD وكلاء لخداع البروتوكول في عملية سك العملة
إلى DeFi أن الاختراق استغل ثغرة أمنية معقدة تُعرف باسم "CPIMP"، وهي اختصار لـ "Clandestine Proxy In the Middle of Proxy" (الوكيل السري في منتصف الوكيل). وأوضح قسم شرطة الولايات المتحدة (USPD) أن المهاجم قام بتنفيذ عملية تهيئة الوكيل مسبقًا في 16 سبتمبر أثناء عملية النشر باستخدام Multicall3 .
2/ لم يكن هذا عيبًا في منطقtracالذكية.
خضع بروتوكول USPD لتدقيقات أمنية صارمة من قِبل شركتين رائدتين، @NethermindEth وResonance. تم اختبار برمجيتنا بالكامل، وهي ملتزمة بمعايير الصناعة الصارمة. ويظل منطقنا آمنًا.
— USPD.IO | دولار الدولة اللامركزية (@USPD_io) 4 ديسمبر 2025
استخدم المخترق بروتوكول CPIMP للاستيلاء على حقوق الإدارة سرًا قبل اكتمال تنفيذ نصوص البروتوكول، منتظرًا شهورًا لبدء سك العملات دون تصريح. نفّذtrac"وهميًا" يُحيل المكالمات إلى كود USPD المُدقّق، ثم نفّذ بمهارة عملية تلاعب بحمولة الحدث وانتحال صفة فتحة التخزين لخداع Etherscan لعرضtracالأصلي المُدقّق.
سمح هذا التمويه للمهاجم بالاختباء لأشهر، متجاوزًا أدوات التحقق والفحوصات اليدوية. واليوم، استخدموا وصولهم السري لترقية الوكيل، مما أدى إلى استخراج حوالي 98 مليون USPD، واستنزاف حوالي 232 stETH، وفقًا لما كتبه USPD.
أكد محلل Blockchain Emmet Gallic تحليل بروتوكول DeFi ، مضيفًا أن تهيئة الوكيل تسببت في الهجوم أثناء النشر.
ادّعى المهاجم حقوق الإدارة، وثبّت تطبيقًا وهميًا ينتحل صفة Etherscan لعرضtracالمُدقّق. وقد تعرّض البروتوكول للاختراق لأشهر، كما افترض.
شرطة مدينة نيويورك تواصل التحقيقات وتتعهد بمكافأة أي هاكر
ردًا على الهجوم، صرّحت شرطة الولايات المتحدة (USPD) بأنها تتعاون بشكل وثيق مع جهات إنفاذ القانون ومجموعات الأمن ذات القبعة البيضاء tracالأموال المسروقة وتجميدها. وكشف الفريق: "لقد حددنا عناوين المهاجم لدى جميع بورصات التداول المركزية (CEX) والبورصات اللامركزية (DEX) الرئيسية لتجميد تدفق الأموال".
أعلن البروتوكول أيضًا استعداده لحل المشكلة مع المهاجم إذا أُعيدت الأموال مع خصم مكافأة اكتشاف الثغرات الأمنية القياسية البالغة 10%. ووعد البروتوكول بوقف جميع إجراءات إنفاذ القانون في حال قبول العرض، وشجّع المهاجم على التواصل معهم مباشرةً أو إعادة 90% من الأصول المسروقة لحل المشكلة.
"نشعر بحزن عميق لأننا، رغم عمليات التدقيق الدقيقة والالتزام بأفضل الممارسات، وقعنا ضحيةً لهذا الهجوم الناشئ والمعقد للغاية. نبذل قصارى جهدنا لاستعادة الأصول"، هذا ما صرحت به شرطة USPD لمجتمعها.
وفقًا لـ CoinMarketCap، لم يتأثر ربط العملة المستقرة بالدولار حتى الآن، لكن حجمها انخفض بنسبة 20% خلال الـ 24 ساعة الماضية إلى حوالي 2.56 مليون دولار.
كانت خروقات بروتوكول العملات المستقرة DeFi أكبر بكثير مما واجهته USPD، بما في ذلك اختراق Euler Finance في عام 2023 والذي أدى إلى خسائر تزيد عن 197 مليون دولار بعد استنزاف العملات المستقرة من مجموعات الإقراض الخاصة بها.
بروتوكولان DeFi في وضع الاسترداد بعد استغلالات نوفمبر
يوم الاثنين الماضي، أصبحت Yearn Finance أحدث بروتوكول يتعرض لاستغلال في رمز مؤشرها السائل yETH. قام الجاني بصك عدد غير محدود من الرموز، وسرق حوالي 3 ملايين دولار من ETH.
تعرضت منصة Yearn Finance سابقًا لاختراق بقيمة 9 ملايين دولار في مجمع تبادل العملات الرقمية المستقر الخاص بها (yETH) في 30 نوفمبر، ولكن كما Cryptopolitan ذكر يوم الأربعاء، فقد بدأت بالفعل في استرداد الأموال المسروقة. حتى الآن، نجح الفريق في استعادة 2.39 مليون دولار، والتي ستُعاد إلى المودعين المتضررين.
أعلنت Balancer، وهو بروتوكول DeFi آخر خسر 128 مليون دولار من خلال خرق الإصدار 2، عن خطط لسداد ما يقرب من 8 ملايين دولار لمزودي السيولة الأسبوع الماضي.
