El protocolo de finanzas descentralizadas US Permissionless Dollar sufrió una violación de seguridad que resultó en la acuñación no autorizada de su moneda estable y el drenaje de más de $1 millón en liquidez.
Según un informe dedent de la cuenta oficial X del equipo USPD, el atacante depositó aproximadamente 3,122 ETH como garantía y explotó un error que le permitió acuñar aproximadamente 98 millones de tokens USPD en una sola transacción.
El proceso multiplicó por diez la cantidad de tokens del depósito inicial y permitió al hacker obtener una garantía adicional de 237 stETH. Las monedas estables robadas se convirtieron posteriormente en USDC por un valor aproximado de 300.000 dólares a través de Curve, la plataforma de intercambio descentralizada.
Los desarrolladores del protocolo USPD y varias cuentas de ciberseguridad, como PeckShield Alert, emitieron una advertencia a los usuarios inmediatamente después dedentla violación, diciendo:
Hemos confirmado una vulnerabilidad crítica del protocolo USPD que ha provocado la acuñación no autorizada y la pérdida de liquidez. Por favor, NO compre USPD. Revoque todas las aprobaciones inmediatamente.
Un hacker del USPD aprovechó los proxies para engañar al protocolo y lograr que se acuñaran
El DeFi mencionó que la brecha explotó un vector de ataque complejo llamado "CPIMP", acrónimo de Clandestine Proxy In the Middle of Proxy (Proxy clandestino en medio de un proxy). El Departamento de Policía de EE. UU. explicó que el atacante interrumpió la inicialización del proxy el 16 de septiembre durante el despliegue mediante una Multicall3 transacción
2/ Esto no fue una falla en la lógica de nuestrotracinteligente.
El protocolo USPD se sometió a rigurosas auditorías de seguridad por parte de firmas de primer nivel como @NethermindEth y Resonance. Nuestro código se somete a pruebas unitarias completas y cumple con los estrictos estándares de la industria. La lógica en sí misma se mantiene segura.
— USPD.IO | El dólar de la nación descentralizada (@USPD_io) 4 de diciembre de 2025
El hacker usó CPIMP para apoderarse de los derechos administrativos silenciosamente antes de que los scripts del protocolo se ejecutaran por completo, esperando meses para empezar a acuñar monedas sin autorización. Implementaron untrac"sombra" que reenviaba llamadas al código auditado del USPD y, sutilmente, manipularon la carga útil de eventos y falsificaron la ranura de almacenamiento para engañar a Etherscan y que mostrara eltracauditado original.
Este camuflaje permitió al atacante ocultarse a plena vista durante meses, eludiendo las herramientas de verificación y las comprobaciones manuales. Hoy, utilizaron su acceso oculto para actualizar el proxy, generar aproximadamente 98 millones de USPD y extraer aproximadamente 232 stETH, escribió el USPD.
El analista de blockchain Emmet Gallic reiteró el análisis del protocolo DeFi y agregó que una inicialización de proxy provocó el ataque durante la implementación.
El atacante se atribuyó derechos de administrador e instaló una implementación oculta que falsificó a Etherscan para que mostrara eltracauditado. El protocolo estuvo hackeado durante meses, conjeturó.
El Departamento de Policía de los Estados Unidos (USPD) continuará con las investigaciones y promete recompensa al pirata informático.
En respuesta al ataque, el Departamento de Policía de los Estados Unidos (USPD) declaró que está trabajando estrechamente con las fuerzas del orden y grupos de seguridad de sombrero blanco para tracy congelar los fondos robados. "Hemos marcado las direcciones del atacante con todos los principales CEX y DEX para congelar el flujo de fondos", reveló el equipo.
El protocolo también declaró su disposición a resolver la situación con el atacante si se devolvían los fondos menos una recompensa estándar del 10% por errores. El protocolo prometió cesar todas las acciones legales si aceptaban la oferta y animó al atacante a contactarlos directamente o a devolver el 90% de los activos robados para resolver el asunto.
Estamos devastados porque, a pesar de las rigurosas auditorías y el cumplimiento de las mejores prácticas, fuimos víctimas de este vector de ataque emergente y altamente complejo. Estamos haciendo todo lo posible para recuperar los activos, informó el Departamento de Policía de los Estados Unidos (USPD) a su comunidad.
Según CoinMarketCap, la vinculación de la stablecoin con el dólar no se ha visto afectada hasta ahora, pero su volumen ha caído un 20% en las últimas 24 horas a alrededor de $ 2,56 millones.
Las violaciones del protocolo de monedas estables DeFi alguna vez fueron mucho más grandes que las que enfrentó USPD, incluido un hackeo de Euler Finance en 2023 que provocó más de $ 197 millones en pérdidas después de que las monedas estables se drenaran de sus fondos de préstamos.
Dos protocolos DeFi en modo de recuperación tras los ataques de noviembre
El lunes pasado, Yearn Finance se convirtió en el último protocolo en sufrir una vulnerabilidad de seguridad en su token de staking líquido yETH. El atacante acuñó una cantidad prácticamente ilimitada de tokens y robó cerca de 3 millones de dólares en ETH.
Yearn Finance sufrió un desvío de fondos de 9 millones de dólares en su pool de intercambio estable de yETH el 30 de noviembre, pero, como Cryptopolitan informó el miércoles, ya ha comenzado a recuperar los fondos robados. Hasta el momento, el equipo ha recuperado con éxito 2,39 millones de dólares, que serán devueltos a los depositantes afectados.
Balancer, otro protocolo DeFi que perdió 128 millones de dólares a través de una violación de v2, anunció planes para reembolsar aproximadamente 8 millones de dólares a los proveedores de liquidez la semana pasada.
