Le protocole de stablecoin de l'USPD a été piraté pour un montant d'un million de dollars jusqu'à présent.

Le protocole de finance décentralisée US Permissionless Dollar a subi une faille de sécurité entraînant la création non autorisée de son stablecoin et la fuite de plus d'un million de dollars de liquidités. 

Selon un rapport d'dent du compte X officiel de l'équipe USPD, l'attaquant a déposé environ 3 122 ETH en garantie et a exploité un bug qui lui a permis de créer environ 98 millions de jetons USPD en une seule transaction. 

Le procédé a généré dix fois plus de jetons que le dépôt initial et a permis au pirate de s'emparer de 237 stETH de garantie supplémentaires. Les stablecoins volés ont ensuite été convertis en environ 300 000 $ d'USDC via la plateforme d'échange décentralisée Curve.

Les développeurs du protocole de l'USPD et plusieurs organismes de cybersécurité, comme PeckShield Alert, ont immédiatement émis un avertissement aux utilisateurs après avoirdentla faille, déclarant: 

« Nous avons confirmé une faille critique dans le protocole USPD, entraînant une création non autorisée de jetons et une ponction sur les liquidités. Veuillez ne PAS acheter de jetons USPD. Révoquez immédiatement toutes les autorisations. »

Un pirate informatique de l'USPD a exploité des proxys pour tromper le protocole et obtenir une cryptomonnaie. 

Le DeFi mentionne que la faille a exploité un vecteur d'attaque complexe nommé « CPIMP », acronyme de Clandestine Proxy In the Middle of Proxy (Proxy clandestin au milieu du proxy). L'USPD explique que l'attaquant a intercepté l'initialisation du proxy le 16 septembre lors de son déploiement, en utilisant une Multicall3 transaction 

2/ Il ne s'agissait pas d'un défaut dans notre logique detracintelligent.

Le protocole USPD a fait l'objet d'audits de sécurité rigoureux menés par les entreprises de premier plan NethermindEth et Resonance. Notre code est entièrement testé unitairement et respecte les normes strictes du secteur. La logique elle-même demeure sécurisée.

— UPD.IO | Dollar privé universel (@UPD_io) 4 décembre 2025

Le pirate a utilisé CPIMP pour s'emparer discrètement des droits d'administrateur avant l'exécution complète des scripts du protocole, attendant des mois avant de commencer à émettre des cryptomonnaies sans autorisation. Il a mis en place untrac« fantôme » qui redirigeait les appels vers le code audité de l'USPD, puis a subtilement manipulé la charge utile des événements et usurpé l'emplacement de stockage pour tromper Etherscan et lui faire afficher letracaudité original. 

« Ce camouflage a permis à l'attaquant de se dissimuler à la vue de tous pendant des mois, en contournant les outils de vérification et les contrôles manuels. Aujourd'hui, il a utilisé cet accès caché pour mettre à niveau le proxy, générer environ 98 millions de dollars USPD et détourner environ 232 millions d'ETH », a écrit l'USPD.

L'analyste blockchain Emmet Gallic a réitéré l'analyse du protocole DeFi , ajoutant qu'une initialisation de proxy avait provoqué l'attaque lors du déploiement. 

« L’attaquant a revendiqué des droits d’administrateur, a installé une implémentation parallèle qui a falsifié Etherscan pour afficher letracaudité. Le protocole a été piraté pendant des mois », a-t-il supposé.

La police américaine poursuit son enquête et promet une prime au pirate informatique.

En réponse à l'attaque, l'USPD a déclaré collaborer étroitement avec les forces de l'ordre et les groupes de sécurité éthiques afin de tracet de bloquer les fonds volés. « Nous avons signalé les adresses de l'attaquant à toutes les principales plateformes d'échange centralisées et décentralisées afin de bloquer les flux financiers », a indiqué l'équipe.

Le protocole indiquait également être disposé à régler le différend avec l'attaquant si les fonds étaient restitués, déduction faite d'une prime de 10 % (prime standard pour la découverte du bug). Il s'engageait à abandonner toute action des forces de l'ordre si l'offre était acceptée et encourageait l'attaquant à le contacter directement ou à restituer 90 % des actifs volés pour que l'affaire soit close.

« Nous sommes profondément attristés d'avoir été victimes de ce vecteur d'attaque émergent et extrêmement complexe malgré des audits rigoureux et le respect des meilleures pratiques. Nous mettons tout en œuvre pour récupérer nos actifs », a déclaré l'USPD à sa communauté.

Selon CoinMarketCap, l'ancrage du stablecoin au dollar américain n'a pas été affecté jusqu'à présent, mais son volume a chuté de 20 % au cours des dernières 24 heures pour atteindre environ 2,56 millions de dollars.

Les violations de protocoles de stablecoins DeFi étaient autrefois bien plus importantes que celles auxquelles l'USPD était confrontée, notamment le piratage d'Euler Finance en 2023 qui a entraîné des pertes de plus de 197 millions de dollars après que les stablecoins ont été retirés de ses pools de prêt. 

Deux protocoles DeFi en mode de récupération après les failles de sécurité de novembre

Lundi dernier, Yearn Finance est devenu le dernier protocole à subir une attaque sur son jeton d'indexation de staking liquide, yETH. L'auteur de l'attaque a émis un nombre quasi illimité de jetons et a dérobé environ 3 millions de dollars en ETH. 

Yearn Finance avait déjà subi une perte de 9 millions de dollars sur sa plateforme d'échange stable yETH le 30 novembre, mais comme Cryptopolitan l'a rapporté mercredi, la société a déjà commencé à récupérer les fonds volés. À ce jour, l'équipe a récupéré avec succès 2,39 millions de dollars, qui seront restitués aux déposants concernés.

Balancer, un autre protocole DeFi qui a perdu 128 millions de dollars suite à une faille de sécurité de la version 2, a annoncé la semaine dernière son intention de rembourser environ 8 millions de dollars aux fournisseurs de liquidités.