분산형 금융 프로토콜인 US Permissionless Dollar가 보안 침해를 당하면서 승인되지 않은 스테이블코인이 발행되고 100만 달러 이상의 유동성이 유출되었습니다.
USPD 팀의 공식 X 계정에서dent 보고서에 따르면, 공격자는 약 3,122 ETH를 담보로 예치하고 버그를 악용하여 단일 거래에서 약 9,800만 USPD 토큰을 발행했습니다.
이 과정을 통해 최초 예치금 대비 10배의 토큰이 생성되었고, 해커는 237 stETH의 담보를 추가로 빼낼 수 있었습니다. 도난당한 스테이블코인은 이후 탈중앙화 거래소 Curve를 통해 약 30만 달러 상당의 USDC로 전환되었습니다.
USPD 프로토콜 개발자와 PeckShield Alert와 같은 몇몇 사이버보안 계정은dent침해 사실을 같이.
"USPD 프로토콜의 심각한 악용 사례가 확인되어 무단 채굴 및 유동성 고갈이 발생했습니다. USPD를 구매하지 마십시오. 모든 승인을 즉시 취소하십시오."
USPD 해커가 프록시를 이용해 프로토콜을 속여 채굴을 시도했습니다.
DeFi DeFi 사용하여 프록시 초기화를 선점했다고 설명했습니다 Multicall3 .
2/ 이는 우리의 스마트trac논리에 결함이 없었습니다.
USPD 프로토콜은 최고 수준의 보안 업체인 @NethermindEth와 Resonance의 엄격한 보안 감사를 거쳤습니다. 저희 코드는 완전한 단위 테스트를 거쳤으며 엄격한 업계 표준을 준수합니다. 로직 자체는 안전하게 유지됩니다.
— USPD.IO | 탈중앙화 국가의 달러 (@USPD_io) 2025년 12월 4일
해커는 CPIMP를 사용하여 프로토콜 스크립트가 완전히 실행되기 전에 관리자 권한을 은밀히 탈취하고, 승인 없이 코인을 채굴하기 위해 몇 달을 기다렸습니다. 그들은 USPD의 감사 대상 코드로 호출을 전달하는 "섀도우"trac을 구현한 후, 이벤트 페이로드 조작 및 스토리지 슬롯 스푸핑을 교묘하게 구현하여 이더스캔을 속여 감사 대상trac원본을 표시하도록 했습니다.
"이 위장을 통해 공격자는 검증 도구와 수동 검사를 우회하여 수개월 동안 눈에 띄지 않게 숨을 수 있었습니다. 오늘 그들은 숨겨진 접근 권한을 사용하여 프록시를 업그레이드하고 약 9,800만 USPD를 채굴하고 약 232 stETH를 유출했습니다."라고 USPD는 밝혔습니다.
블록체인 분석가 에밋 갈릭은 DeFi 프로토콜의 분석을 반복하며, 배포 중 프록시 초기화로 인해 공격이 발생했다고 덧붙였습니다.
"공격자는 관리자 권한을 주장하고, Etherscan을 스푸핑하여 감사된 계약trac을 보여주는 섀도우 구현을 설치했습니다. 해당 프로토콜은 수개월 동안 해킹당했습니다."라고 그는 추측했습니다.
USPD, 해커에 현상금 걸고 수사 계속
USPD는 이번 공격에 대응하여 도난당한 자금을 trac하고 동결하기 위해 법 집행 기관 및 화이트햇 보안 그룹과 긴밀히 협력하고 있다고 밝혔습니다. "자금 흐름을 동결하기 위해 모든 주요 CEX(중앙거래소)와 DEX(분산거래소)에 공격자의 주소를 표시했습니다."라고 USPD는 밝혔습니다.
프로토콜은 또한 표준 10% 버그 바운티를 제외한 금액을 반환하면 공격자와 상황을 해결할 의향이 있다고 밝혔습니다. 프로토콜은 제안을 수락할 경우 모든 법 집행 조치를 중단하겠다고 약속했으며, 공격자에게 직접 연락하거나 도난당한 자산의 90%를 반환하여 문제 해결을 촉구했습니다.
USPD는 지역 사회에 "엄격한 감사와 모범 사례 준수에도 불구하고 이처럼 새롭게 부상하고 고도로 복잡한 공격 벡터의 희생양이 된 것에 대해 매우 큰 충격을 받았습니다. 자산을 회수하기 위해 최선을 다하고 있습니다."라고 밝혔습니다.
CoinMarketCap에 따르면, 스테이블코인의 달러화 페그는 지금까지 영향을 받지 않았지만, 거래량은 지난 24시간 동안 20% 감소하여 약 256만 달러에 그쳤습니다.
DeFi 스테이블코인 프로토콜 침해는 한때 USPD가 겪었던 것보다 훨씬 더 컸습니다. 2023년에 Euler Finance가 해킹을 당해 대출 풀에서 스테이블코인이 빠져나가면서 1억 9,700만 달러 이상의 손실이 발생한 적도 있습니다.
11월 공격 이후 두 개의 DeFi 프로토콜이 복구 모드로 전환됨
지난 월요일, Yearn Finance는 유동성 스테이킹 인덱스 토큰인 yETH가 악용된 최신 프로토콜이 되었습니다. 범인은 사실상 무제한의 토큰을 발행하고 약 300만 달러 상당의 ETH를 훔쳤습니다.
Yearn Finance는 지난 11월 30일 yETH 스테이블스왑 풀에서 900만 달러 규모의 해킹 공격을 당했지만, Cryptopolitan 보도 이미 도난 자금 복구에 착수했습니다. 현재까지 Yearn Finance 팀은 239만 달러를 성공적으로 회수했으며, 이는 피해를 입은 예금자들에게 반환될 예정입니다.
v2 침해로 1억 2,800만 달러의 손실을 입은 또 다른 DeFi 프로토콜인 Balancer는 지난주 유동성 공급자에게 약 800만 달러를 배상할 계획이라고 발표했습니다.
