Протокол децентрализованного финансирования US Permissionless Dollar столкнулся с нарушением безопасности, что привело к несанкционированному выпуску его стейблкоина и утечке ликвидности на сумму более 1 миллиона долларов США.
Согласно отчету обdent с официального аккаунта X команды USPD, злоумышленник внес около 3122 ETH в качестве залога и воспользовался уязвимостью, которая позволила ему выпустить около 98 миллионов токенов USPD за одну транзакцию.
В результате было создано в десять раз больше токенов, чем первоначальный депозит, и хакер смог списать ещё 237 stETH, являвшихся залогом. Украденные стейблкоины впоследствии были конвертированы в USDC на сумму около 300 000 долларов США через децентрализованную биржу Curve.
выпустили предупреждение для пользователейdentнарушения в котором говорится:
Мы подтвердили наличие критической уязвимости протокола USPD, приведшей к несанкционированному выпуску монет и утечке ликвидности. Пожалуйста, НЕ покупайте USPD. Немедленно отзовите все разрешения.
Хакер USPD воспользовался прокси-серверами, чтобы обмануть протокол и начать чеканку монет
протокола DeFi упоминалось, что в результате взлома был использован сложный вектор атаки под названием «CPIMP», сокращение от Clandestine Proxy In the Middle of Proxy (тайный прокси-сервер в середине прокси). USPD пояснила, что злоумышленник опередил инициализацию прокси-сервера 16 сентября во время развертывания, используя Multicall3 .
2/ Это не было ошибкой в логике нашего смарт-trac.
Протокол USPD прошёл строгий аудит безопасности, проведённый ведущими компаниями @NethermindEth и Resonance. Наш код полностью протестирован и соответствует строгим отраслевым стандартам. Сама логика остаётся безопасной.
— USPD.IO | Доллар децентрализованной нации (@USPD_io) 4 декабря 2025 г.
Хакер использовал CPIMP для скрытого захвата административных прав до полного выполнения скриптов протокола, выжидая несколько месяцев, чтобы начать несанкционированную добычу монет. Он внедрил «теневой»trac, который перенаправлял вызовы на проверенный код USPD, а затем незаметно реализовал манипуляцию полезной нагрузкой событий и подмену слота хранилища, чтобы обмануть Etherscan и заставить его отобразить исходный проверенныйtrac.
«Этот камуфляж позволил злоумышленнику месяцами скрываться на виду, обходя инструменты верификации и ручные проверки. Сегодня они воспользовались своим скрытым доступом для обновления прокси-сервера, выкачав около 98 млн долларов США и сняв около 232 stETH», — написали в USPD.
Аналитик блокчейна Эммет Галлик повторил анализ протокола DeFi , добавив, что атака была вызвана инициализацией прокси-сервера во время развертывания.
«Злоумышленник завладел правами администратора и установил теневую реализацию, которая обманным путём заставила Etherscan отобразить проверенныйtrac. Протокол был взломан несколько месяцев назад», — предположил он.
Полиция США продолжит расследование и обещает вознаграждение хакеру
В ответ на атаку полиция США заявила, что тесно сотрудничает с правоохранительными органами и группами безопасности, специализирующимися на «белых хакерах», чтобы tracи заморозить похищенные средства. «Мы отметили адреса злоумышленников на всех крупных центральных и децентрализованных биржах, чтобы заморозить поток средств», — сообщили в полиции.
В протоколе также говорилось о готовности урегулировать ситуацию с атакующим, если средства будут возвращены за вычетом стандартной выплаты в размере 10% от суммы, найденной в уязвимости. В протоколе также было обещано прекращение любых действий правоохранительных органов в случае принятия предложения, и предлагалось атакующему связаться с ними напрямую или вернуть 90% украденных активов для решения проблемы.
«Мы глубоко потрясены тем, что, несмотря на тщательные проверки и соблюдение передовых практик, мы стали жертвой этого нового и крайне сложного вектора атак. Мы делаем всё возможное для восстановления активов», — заявили в полиции США своим сотрудникам.
По данным CoinMarketCap, привязка стейблкоина к доллару США пока не пострадала, но его объем за последние 24 часа снизился на 20% и составил около 2,56 млн долларов.
Утечки протоколов стейблкоинов DeFi когда-то были гораздо масштабнее, чем те, с которыми столкнулась USPD, включая взлом Euler Finance в 2023 году, который привел к убыткам более чем на 197 миллионов долларов после того, как стейблкоины были выведены из кредитных пулов компании.
Два протокола DeFi в режиме восстановления после ноябрьских атак
В прошлый понедельник Yearn Finance стал последним протоколом, подвергшимся атаке на свой индексный токен ликвидного стейкинга yETH. Злоумышленник выпустил практически неограниченное количество токенов и похитил около 3 миллионов долларов в ETH.
Ранее, 30 ноября, компания Yearn Finance уже пострадала от взлома своего пула стейблсвапов yETH на сумму 9 миллионов долларов, но, как Cryptopolitan сообщило в среду, она уже начала возвращать украденные средства. На данный момент команде удалось вернуть 2,39 миллиона долларов, которые будут возвращены пострадавшим вкладчикам.
Balancer, еще один протокол DeFi , потерявший 128 миллионов долларов из-за взлома v2, на прошлой неделе объявил о планах возместить поставщикам ликвидности около 8 миллионов долларов.
