PANews 12月5日、PeckShieldAlertによると、ステーブルコインプロジェクトUSPDが重大なセキュリティ脆弱性に遭い、約100万ドルの損失が発生しました。USPD公式はプロトコルの悪用を確認しており、攻撃者が不正にトークンをミントし流動性を抜き取ったとのことです。公式は緊急で、ユーザーにUSPDコントラクトへのすべてのトークン承認を直ちに取り消すよう呼びかけています。
USPDプロトコルは「CPIMP」攻撃を受けたことを確認しており、攻撃者はデプロイ段階でMulticall3を利用してプロキシを先に初期化し、管理者権限を奪取、さらに監査済みの実装コントラクトを装いました。公式によると、これはコントラクトのバグではなく、数ヶ月間隠されていた後にプロキシをアップグレードし、約98M USPDをミントし約232 stETHを移転しました。USPDはユーザーに全承認の即時取消を求め、攻撃アドレス(0x7C97…9d83(Infector)、0x0833…215A(Drainer))を公開、現在法執行機関やホワイトハットと協力して追跡中で、返還には10%の報奨金を約束しています。
