最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- USPDステーブルコインプロトコルが高度なハッキングを受け、攻撃者は9800万USPDを発行し、100万ドル以上の流動性を流出させた。
- この侵害はプロキシ初期化の脆弱性を悪用し、シャドーtracを使用して検証を回避し、数か月間検出されないままでした。
- Yearn Finance と Balancer での最近の攻撃を含め、 DeFi 攻撃はエコシステム全体で継続しており、永続的なスマートtracのリスクを浮き彫りにしています。
分散型金融プロトコルの US Permissionless Dollar がセキュリティ侵害を受け、その結果、ステーブルコインが不正に発行され、100 万ドル以上の流動性が流出した。
USPDチームの公式Xアカウントからのdent 報告によると、攻撃者は約3,122 ETHを担保として預け、バグを悪用して1回の取引で約9,800万USPDトークンを発行したという。
このプロセスにより、当初の預託金の10倍の量のトークンが生成され、ハッカーはさらに237 stETHの担保を奪うことができました。盗まれたステーブルコインはその後、分散型取引所Curveを通じて約30万ドル相当のUSDCに変換されました。
USPDプロトコル開発者と、PeckShield Alertなどの複数のサイバーセキュリティアカウントは、dent侵害を特定した直後にユーザーに対して警告を発し、 述べています。
USPDプロトコルの重大な脆弱性により、不正な発行と流動性の流出が発生していることを確認しました。USPDを購入しないでください。すべての承認を直ちに取り消してください。
USPDハッカーはプロキシを利用してプロトコルを偽造した
DeFi DeFi を使用してプロキシの初期化を先回りしたと説明している Multicall3 。
2/ これは当社のスマートtracロジックの欠陥ではありませんでした。
USPDプロトコルは、一流企業である@NethermindEthとResonanceによる厳格なセキュリティ監査を受けています。コードは完全にユニットテスト済みで、厳格な業界標準に準拠しています。ロジック自体は安全です。
— UPD.IO | ユニバーサル・プライベート・ダラー(@UPD_io) 2025年12月4日
ハッカーはCPIMPを利用して、プロトコルのスクリプトが完全に実行される前に管理者権限を密かに奪取し、数ヶ月間待機して不正にコインを鋳造し始めました。彼らはUSPDの監査済みコードへの呼び出しを転送する「シャドウ」tracを実装し、さらにイベントペイロードの操作とストレージスロットのスプーフィングを巧妙に実装して、Etherscanを欺き、元の監査済みtracを表示させました。
「このカモフラージュにより、攻撃者は数ヶ月間、人目につかない場所に潜伏し、検証ツールや手動チェックを回避できました。本日、彼らはこの隠されたアクセスを利用してプロキシをアップグレードし、約9800万USPDの仮想通貨を鋳造し、約232 stETHを流出させました」とUSPDは記しています。
ブロックチェーンアナリストのエメット・ガリック氏は DeFi プロトコルの分析を繰り返し、展開中にプロキシの初期化が攻撃を引き起こしたと付け加えた。
「攻撃者は管理者権限を主張し、Etherscanを偽装して監査済みのtracを表示するシャドー実装をインストールしました。プロトコルは数ヶ月にわたってハッキングされていました」と彼は推測した。
USPDは捜査を継続し、ハッカーに賞金を出すことを約束
USPDは、この攻撃を受けて、法執行機関やホワイトハットセキュリティグループと緊密に連携し、盗まれた資金の tracと凍結に取り組んでいると述べた。「資金の流れを凍結するため、主要なCEXとDEXのすべてで攻撃者のアドレスにフラグを付けました」とチームは明らかにした。
プロトコルはまた、標準的な10%のバグ発見報奨金を差し引いた上で資金を返還すれば、攻撃者と問題を解決する用意があると表明した。プロトコルは、攻撃者がこの申し出を受け入れれば、すべての法執行措置を停止すると約束し、攻撃者に対し、問題解決のために直接連絡を取るか、盗まれた資産の90%を返還するよう促した。
「厳格な監査とベストプラクティスの遵守にもかかわらず、この新しく非常に複雑な攻撃ベクトルの犠牲になったことに、私たちは大きな衝撃を受けています。資産の回復に向けて、全力を尽くしています」とUSPDは地域社会に伝えました。
CoinMarketCapによると、このステーブルコインの米ドルへのペッグは今のところ影響を受けていないが、その取引量は過去24時間で20%減少し、約256万ドルとなっている。
DeFi ステーブルコインプロトコルの侵害はかつてUSPDが直面したものよりもはるかに大規模だった。これには、2023年のEuler Financeへのハッキングも含まれ、このハッキングでは、ステーブルコインが貸付プールから流出し、1億9,700万ドル以上の損失につながった。
11月の攻撃後、2つの DeFi プロトコルが回復モードに
先週月曜日、Yearn Financeは、流動性ステーキング・インデックストークンyETHでエクスプロイトの被害を受けた最新のプロトコルとなりました。犯人は事実上無制限の数のトークンを発行し、約300万ドル相当のETHを盗みました。
Yearn Financeは11月30日にyETHステーブルスワッププールで900万ドルの不正アクセス被害に遭ったが、 Cryptopolitan 報じた 、すでに盗まれた資金の回収を開始している。これまでにチームは239万ドルの回収に成功しており、被害を受けた預金者に返還される予定だ。
バージョン2の侵害により1億2800万ドルの損失を被った別の DeFi プロトコルであるBalancerは、先週、流動性プロバイダーに約800万ドルを返金する計画を発表した。
この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
フローレンス・ムチャイ
フローレンスは過去6年間、暗号通貨、ゲーム、テクノロジー、AI関連のニュースを取材してきました。メルー科学技術大学でコンピュータ科学を、メルー科学技術大学で災害管理と国際外交を専攻した経験は、彼女に語学力、観察力、そして技術力を十分に備えさせています。フローレンスはVAPグループで勤務したほか、複数の暗号通貨メディアで編集者として活躍してきました。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)