Das Stablecoin-Protokoll der USPD wurde bisher um 1 Million Dollar erleichtert

Das dezentrale Finanzprotokoll US Permissionless Dollar erlitt einen Sicherheitsverstoß, der zur unbefugten Prägung seines Stablecoins und zum Abfluss von mehr als einer Million Dollar an Liquidität führte. 

Laut einemdent vom offiziellen X-Account des USPD-Teams hinterlegte der Angreifer etwa 3.122 ETH als Sicherheit und nutzte einen Fehler aus, der es ihm ermöglichte, in einer einzigen Transaktion etwa 98 Millionen USPD-Token zu prägen. 

Durch den Vorgang wurden zehnmal so viele Token wie die ursprüngliche Einzahlung generiert, wodurch der Hacker weitere 237 stETH als Sicherheit erbeuten konnte. Die gestohlenen Stablecoins wurden anschließend über die dezentrale Börse Curve in USDC im Wert von etwa 300.000 US-Dollar umgetauscht.

USPD-Protokolls und mehrere Cybersicherheits-Accounts, wie beispielsweise PeckShield Alert, gaben unmittelbar nach Feststellung der Sicherheitslücke eine Warnung an diedentheraus :des 

„Wir haben eine kritische Sicherheitslücke im USPD-Protokoll festgestellt, die zu unautorisierter Prägung und Liquiditätsabfluss geführt hat. Bitte kaufen Sie KEINE USPD-Token. Widerrufen Sie umgehend alle Genehmigungen.“

Ein Hacker der USPD nutzte Proxys aus, um das Protokoll zur Prägung von 

Der DeFi Protokolls erwähnte, dass der Sicherheitsvorfall einen komplexen Angriffsvektor namens „CPIMP“ (Clandestine Proxy In the Middle of Proxy) ausnutzte. USPD erklärte, der Angreifer habe die Proxy-Initialisierung am 16. September während der Bereitstellung mithilfe einer Multicall3 -Transaktion abgefangen. 

2/ Dies war kein Fehler in unserer intelligententrac.

Das USPD-Protokoll wurde von den führenden Unternehmen @NethermindEth und Resonance strengen Sicherheitsprüfungen unterzogen. Unser Code ist vollständig unit-getestet und entspricht strengen Industriestandards. Die Logik selbst ist weiterhin sicher.

— UPD.IO | Universeller privater Dollar (@UPD_io) 4. Dezember 2025

Der Hacker nutzte CPIMP, um sich unbemerkt administrative Rechte zu verschaffen, bevor die Skripte des Protokolls vollständig ausgeführt wurden. So konnte er monatelang ohne Autorisierung Coins prägen. Er implementierte einen „trac“, der Aufrufe an den von USPD geprüften Code weiterleitete, und führte anschließend subtil eine Manipulation der Ereignisnutzlast sowie eine Spoofing-Maßnahme für Speicherplätze durch, um Etherscan dazu zu bringen, den originalen, geprüftentracanzuzeigen. 

„Diese Tarnung ermöglichte es dem Angreifer, monatelang unentdeckt zu bleiben und Verifizierungstools sowie manuelle Prüfungen zu umgehen. Heute nutzte er seinen verborgenen Zugang, um den Proxy zu aktualisieren, ca. 98 Millionen USPD zu prägen und ca. 232 stETH abzuzweigen“, schrieb die USPD.

Der Blockchain-Analyst Emmet Gallic bekräftigte die Analyse des DeFi Protokolls und fügte hinzu, dass eine Proxy-Initialisierung während der Bereitstellung den Angriff verursacht habe. 

„Der Angreifer verschaffte sich Administratorrechte und installierte eine Schattenimplementierung, die Etherscan dazu brachte, den geprüftentracanzuzeigen. Das Protokoll war monatelang gehackt“, vermutete er.

Die USPD wird die Ermittlungen fortsetzen und verspricht dem Hacker eine Belohnung.

Als Reaktion auf den Angriff erklärte die USPD, eng mit Strafverfolgungsbehörden und Sicherheitsexperten zusammenzuarbeiten, um die gestohlenen Gelder tracund einzufrieren. „Wir haben die Adressen des Angreifers bei allen wichtigen zentralen und dezentralen Börsen gemeldet, um den Geldfluss zu unterbinden“, teilte das Team mit.

Das Protokoll erklärte sich außerdem bereit, die Angelegenheit mit dem Angreifer beizulegen, sofern die Gelder abzüglich einer üblichen Bug-Bounty-Prämie von 10 % zurückgegeben würden. Es versprach, alle strafrechtlichen Maßnahmen einzustellen, sollte das Angebot angenommen werden, und forderte den Angreifer auf, sich direkt mit dem Protokoll in Verbindung zu setzen oder 90 % der gestohlenen Vermögenswerte zurückzugeben, um den Fall zu lösen.

„Wir sind zutiefst bestürzt darüber, dass wir trotz strenger Prüfungen und Einhaltung bewährter Verfahren diesem neuartigen und hochkomplexen Angriffsvektor zum Opfer gefallen sind. Wir setzen alles daran, unsere Vermögenswerte zurückzuerlangen“, teilte die USPD ihren Mitgliedern mit.

Laut CoinMarketCap ist die Bindung des Stablecoins an den US-Dollar bisher nicht beeinträchtigt worden, aber sein Volumen ist in den letzten 24 Stunden um 20 % auf rund 2,56 Millionen US-Dollar gesunken.

Einst waren die Angriffe auf DeFi -Stablecoin-Protokolle viel gravierender als das, womit die USPD konfrontiert war. Ein Beispiel dafür ist der Hack von Euler Finance im Jahr 2023, der zu Verlusten von mehr als 197 Millionen Dollar führte, nachdem Stablecoins aus den Kreditpools abgezogen wurden. 

Zwei DeFi Protokolle befinden sich nach Sicherheitslücken im November im Wiederherstellungsmodus.

Am vergangenen Montag wurde Yearn Finance als jüngstes Protokoll Opfer eines Angriffs auf seinen Liquid-Staking-Index-Token yETH. Der Täter erzeugte eine praktisch unbegrenzte Anzahl von Token und stahl ETH im Wert von etwa 3 Millionen US-Dollar. 

Yearn Finance war am 30. November Opfer eines Hackerangriffs auf seinen yETH-Stableswap-Pool geworden, bei dem 9 Millionen US-Dollar gestohlen wurden. Wie Cryptopolitan berichtete , hat das Unternehmen jedoch bereits mit der Rückgewinnung der gestohlenen Gelder begonnen. Bislang konnte das Team 2,39 Millionen US-Dollar erfolgreich zurückerlangen, die an die betroffenen Einleger zurückgezahlt werden.

Balancer, ein weiteres DeFi Protokoll, das durch einen v2-Datendiebstahl 128 Millionen Dollar verloren hat, kündigte letzte Woche Pläne an, Liquiditätsanbietern etwa 8 Millionen Dollar zurückzuerstatten.