去中心化金融协议美国无需许可美元遭遇安全漏洞,导致其稳定币未经授权被铸造,超过 100 万美元的流动性被抽走。
根据 USPD 团队官方 X 账户发布的dent 报告,攻击者存入了约 3,122 个 ETH 作为抵押品,并利用一个漏洞,在一次交易中铸造了约 9800 万个 USPD 代币。
该过程产生的代币数量是初始存款的十倍,并使黑客得以额外盗取 237 个 stETH 抵押品。被盗的稳定币随后通过去中心化交易所 Curve 兑换成价值约 30 万美元的 USDC。
后立即向用户发出警告dent此次安全漏洞 称:
“我们已确认USPD协议遭到严重攻击,导致未经授权的增发和流动性枯竭。请勿购买USPD。立即撤销所有授权。”
美国警察局黑客利用代理欺骗协议,使其铸造货币。
DeFi DeFi 抢先执行了代理初始化 Multicall3 。
2/ 这不是我们智能trac逻辑的缺陷。
USPD协议经过了顶级公司@NethermindEth和Resonance的严格安全审计。我们的代码经过了全面的单元测试,并严格遵循行业标准。逻辑本身是安全的。
— USPD.IO | 去中心化国家的美元 (@USPD_io) 2025年12月4日
黑客利用 CPIMP 在协议脚本完全执行之前悄悄夺取了管理权限,并等待数月后开始未经授权地铸造代币。他们实施了一个“影子”trac,将调用转发到 USPD 的审计代码,然后巧妙地篡改了事件有效载荷并欺骗了存储槽,从而诱使 Etherscan 显示原始的审计trac。
USPD 写道:“这种伪装让攻击者得以在众目睽睽之下隐藏数月,绕过了验证工具和人工检查。今天,他们利用隐藏的访问权限升级了代理服务器,铸造了约 9800 万枚 USPD,并窃取了约 2.32 亿枚 stETH。”
区块链分析师 Emmet Gallic 重申了 DeFi 协议的分析,并补充说,代理初始化导致了部署期间的攻击。
他推测说:“攻击者获取了管理员权限,安装了一个影子程序,伪造了 Etherscan,使其显示经过审计的trac。该协议被黑客攻击了数月之久。”
美国警方将继续调查,并承诺悬赏缉拿黑客
针对此次攻击,美国警察局表示,他们正与执法部门和白帽安全组织密切合作, trac并冻结被盗资金。“我们已将攻击者的地址标记在所有主要的中心化交易所(CEX)和去中心化交易所(DEX)中,以冻结资金流动,”该团队透露。
该协议还表示,如果攻击者归还资金(扣除标准的10%漏洞赏金),他们愿意与攻击者解决问题。该协议承诺,如果攻击者接受此提议,将停止所有执法行动,并鼓励攻击者直接与他们联系,或归还90%的被盗资产以解决问题。
“尽管我们进行了严格的审计并遵守了最佳实践,但我们仍然成为了这种新兴且高度复杂的攻击手段的受害者,这让我们感到非常痛心。我们正在尽一切努力追回资产,”美国警察局向其社区表示。
据 CoinMarketCap 数据显示,该稳定币与美元的挂钩目前尚未受到影响,但其交易量在过去 24 小时内下降了 20%,至约 256 万美元。
DeFi 稳定币协议漏洞曾经比 USPD 面临的漏洞要大得多,包括 2023 年 Euler Finance 遭受的黑客攻击,导致其借贷池中的稳定币被抽走,损失超过 1.97 亿美元。
11 月漏洞攻击后,两个 DeFi 协议进入恢复模式。
上周一,Yearn Finance成为最新一个遭遇流动性质押指数代币yETH漏洞攻击的协议。攻击者铸造了几乎无限数量的代币,并窃取了价值约300万美元的ETH。
Yearn Finance此前于11月30日遭遇yETH稳定币池900万美元的资金被盗事件,但据 Cryptopolitan 报道 ,该公司已开始追回被盗资金。目前,团队已成功追回239万美元,这些资金将返还给受影响的存款人。
Balancer 是另一个因 v2 版本漏洞而损失 1.28 亿美元的 DeFi 协议,该公司上周宣布计划向流动性提供者偿还约 800 万美元。
