اختراق خطير لـUSPD: ملايين الرموز الرقمية تُسك وسحب أصول بقيمة مليون دولار
أعلنت منصة USPD عن تعرضها لاختراق أمني واسع النطاق، بعد أن تمكن مهاجم من السيطرة على عقد البروكسي الخاص بالبروتوكول لعدة أشهر دون اكتشافه. وقد استغل المهاجم هذه السيطرة لسك ملايين الرموز الرقمية وسحب أصول تتجاوز قيمتها مليون دولار قبل انكشاف الحادث.
وقالت المنصة في بيان أصدرته يوم 5 ديسمبر، إن المهاجم قام بسك نحو 98 مليون رمز USPD وسحب 232 stETH تُقدَّر قيمتها بحوالي مليون دولار. ودعت USPD مستخدميها إلى تجنب شراء الرمز خلال هذه الفترة وإلغاء أي موافقات مرتبطة به، إلى حين الانتهاء من التحقيقات الأمنية.
وأكد فريق USPD أن العقود الذكية الأساسية لم تتعرض لأي خلل، مشيراً إلى أنها خضعت لتدقيق شركات متخصصة مثل Nethermind وResonance. وبيّن الفريق أن الهجوم استهدف نافذة نشر عقد البروكسي، عبر أسلوب دقيق يُعرف باسم CPIMP.
وبحسب التحقيقات، نفذ المهاجم عملية front-running خلال مرحلة التهيئة في 16 سبتمبر، مستخدماً معاملة Multicall3 للاستحواذ على صلاحيات المشرف قبل اكتمال عملية النشر، ما سمح له بزرع نسخة خبيثة مخفية من تطبيق البروكسي.
ولإخفاء نشاطه، تلاعب المهاجم ببيانات الأحداث وخانات التخزين، ما جعل متصفحات البلوكشين تعرض التنفيذ الشرعي بدل النسخة الخبيثة، وتمكن بذلك من التحكم الكامل في البروتوكول لمدة ثلاثة أشهر قبل تنفيذ عملية السك وسحب الأموال.
