Il protocollo finanziario decentralizzato US Permissionless Dollar ha subito una violazione della sicurezza che ha portato alla coniazione non autorizzata della sua stablecoin e al drenaggio di oltre 1 milione di dollari di liquidità.
Secondo un rapportodent sull'account X ufficiale del team USPD, l'aggressore ha depositato circa 3.122 ETH come garanzia e ha sfruttato un bug che gli ha consentito di coniare circa 98 milioni di token USPD in un'unica transazione.
Il processo ha creato una quantità di token dieci volte superiore a quella del deposito iniziale e ha permesso all'hacker di drenare ulteriori 237 stETH di garanzia. Le stablecoin rubate sono state successivamente convertite in USDC per un valore di circa 300.000 dollari tramite l'exchange decentralizzato Curve.
Gli sviluppatori del protocollo USPD e diversi account di sicurezza informatica, come PeckShield Alert, hanno emesso un avviso agli utenti subito dopo averdentla violazione, affermando:
"Abbiamo confermato un exploit critico del protocollo USPD che ha portato alla coniazione non autorizzata e al drenaggio di liquidità. Vi preghiamo di NON acquistare USPD. Revoca immediatamente tutte le approvazioni."
Un hacker dell'USPD ha sfruttato i proxy per ingannare il protocollo e coniarlo
Il DeFi ha menzionato che la violazione ha sfruttato un complesso vettore di attacco denominato "CPIMP", acronimo di Clandestine Proxy In the Middle of Proxy. USPD ha spiegato che l'attaccante ha anticipato l'inizializzazione del proxy il 16 settembre durante la fase di implementazione utilizzando una Multicall3 transazione
2/ Non si trattava di un difetto nella logica del nostro smarttrac.
Il protocollo USPD è stato sottoposto a rigorosi audit di sicurezza da parte di aziende di alto livello come @NethermindEth e Resonance. Il nostro codice è completamente testato e aderisce a rigorosi standard di settore. La logica stessa rimane sicura.
— USPD.IO | Il dollaro della nazione decentralizzata (@USPD_io) 4 dicembre 2025
L'hacker ha utilizzato CPIMP per impossessarsi silenziosamente dei diritti amministrativi prima che gli script del protocollo fossero completamente eseguiti, attendendo mesi per iniziare a coniare monete senza autorizzazione. Hanno implementato untrac"ombra" che inoltrava le chiamate al codice verificato dell'USPD, quindi hanno implementato in modo subdolo una manipolazione del payload degli eventi e uno spoofing degli slot di archiviazione per ingannare Etherscan e indurlo a visualizzare il contrattotracoriginale.
"Questo camuffamento ha permesso all'aggressore di nascondersi in piena vista per mesi, aggirando gli strumenti di verifica e i controlli manuali. Oggi, hanno utilizzato il loro accesso nascosto per aggiornare il proxy, coniare circa 98 milioni di dollari USPD e prosciugare circa 232 stETH", ha scritto l'USPD.
L'analista blockchain Emmet Gallic ha ribadito l'analisi del protocollo DeFi , aggiungendo che l'attacco è stato causato dall'inizializzazione del proxy durante l'implementazione.
"L'aggressore ha rivendicato i diritti di amministratore e ha installato un'implementazione shadow che ha falsificato Etherscan inducendolo a visualizzare iltracverificato. Il protocollo è stato violato per mesi", ha ipotizzato.
L'USPD continuerà le indagini e promette una ricompensa all'hacker
In risposta all'attacco, l'USPD ha dichiarato di stare lavorando a stretto contatto con le forze dell'ordine e i gruppi di sicurezza whitehat per trace congelare i fondi rubati. "Abbiamo segnalato gli indirizzi dell'aggressore a tutti i principali CEX e DEX per congelare il flusso di fondi", ha rivelato il team.
Il protocollo ha inoltre dichiarato di essere disposto a risolvere la situazione con l'aggressore a condizione che i fondi vengano restituiti, al netto di una ricompensa standard del 10% per bug. Il protocollo ha promesso di cessare tutte le azioni delle forze dell'ordine se accettasse l'offerta e ha incoraggiato l'aggressore a contattarlo direttamente o a restituire il 90% dei beni rubati per risolvere la questione.
"Siamo devastati dal fatto che, nonostante i rigorosi controlli e il rispetto delle migliori pratiche, siamo caduti vittime di questo vettore di attacco emergente e altamente complesso. Stiamo facendo tutto il possibile per recuperare i nostri beni", ha dichiarato la Polizia di Stato alla propria comunità.
Secondo CoinMarketCap, l'ancoraggio della stablecoin al dollaro statunitense non ha subito finora alcun cambiamento, ma il suo volume è sceso del 20% nelle ultime 24 ore, attestandosi a circa 2,56 milioni di dollari.
Un tempo le violazioni del protocollo delle stablecoin DeFi erano molto più grandi di quelle affrontate dall'USPD, tra cui l'attacco informatico a Euler Finance nel 2023 che ha causato perdite per oltre 197 milioni di dollari dopo che le stablecoin sono state prosciugate dai suoi pool di prestito.
Due protocolli DeFi in modalità di ripristino dopo gli exploit di novembre
Lunedì scorso, Yearn Finance è stato l'ultimo protocollo a subire un exploit sul suo token indicizzato liquid-staking yETH. Il criminale ha emesso un numero praticamente illimitato di token e ha rubato circa 3 milioni di dollari in ETH.
Yearn Finance aveva subito un attacco informatico da 9 milioni di dollari nel suo pool di stablecoin yETH il 30 novembre, ma, come Cryptopolitan riportato mercoledì, ha già iniziato a recuperare i fondi rubati. Finora, il team è riuscito a recuperare 2,39 milioni di dollari, che saranno restituiti ai depositanti interessati.
Balancer, un altro protocollo DeFi che ha perso 128 milioni di dollari a causa di una violazione della v2, la scorsa settimana ha annunciato l'intenzione di rimborsare circa 8 milioni di dollari ai fornitori di liquidità.
