تتعرض عملة USPD لاختراق أمني خطير بعد أن سيطر مهاجم بهدوء على عقدها الوكيل منذ أشهر واستخدم هذا الوصول لسك عملات جديدة وسحب الأموال.
تفاصيل الاختراق
كشفت USPD عن الحادث في 5 ديسمبر، قائلة إن الثغرة سمحت للمهاجم بسك ما يقرب من 98 مليون USPD وسحب حوالي 232 من عملة stETH، بقيمة تقارب مليون دولار. وحث الفريق المستخدمين على عدم شراء العملة وسحب أي صلاحيات منحه لها حتى إشعار آخر.
كيف حدث الاختراق؟
أكد البروتوكول أن عقد الذكاء الآمن الذي تم تدقيقه ليس هو مصدر الخلل. وبدلاً من ذلك، جاء الاختراق مما وصفه الفريق بهجوم “CPIMP”، وهي تكتيك يستهدف نافذة نشر العقد الوكيل.
وفقًا لـ USPD، سبق المهاجم عملية التشغيل في 16 سبتمبر باستخدام معاملة Multicall3. وقفز المهاجم قبل انتهاء سكريبت النشر، واستولى على صلاحيات المدير، وأدخل نسخة وكيل مخفية.
ولإبقاء هذا الإعداد الخبيث مخفيًا عن المستخدمين والمدققين وحتى منصات استكشاف البلوكشين مثل Etherscan، كانت هذه النسخة الظلالية توجه الاستدعاءات إلى العقد الذي تم تدقيقه. وقد نجحت هذه التمويه لأن المهاجم زور بيانات الأحداث وفتحات التخزين لجعل المنصات تعرض التنفيذ الشرعي. وهذا منح المهاجم سيطرة كاملة لأشهر حتى قام بترقية الوكيل ونفذ عملية السك التي استنزفت البروتوكول.
الجهود الجارية والتعويض
قالت USPD إنها تعمل مع إنفاذ القانون والباحثين الأمنيين والتبادلات الكبرى لتتبع الأموال وإيقاف أي حركة أخرى. وعرض الفريق على المهاجم فرصة لإعادة 90% من الأصول تحت هيكل مكافأة الأخطاء القياسي، قائلاً إنه سيعامل هذا الإجراء كمحاولة استرداد “القبعة البيضاء” إذا تم إرجاع الأموال.
سلسلة اختراقات ديسمبر
يأتي حادث USPD خلال فترة نشطة أخرى للاختراقات هذا العام، حيث تجاوزت الخسائر عبر ديسمبر بالفعل 100 مليون دولار.
- أكدت Upbit، إحدى أكبر البورصات في كوريا الجنوبية، اختراقًا بقيمة 30 مليون دولار مرتبطًا بمجموعة Lazarus الأسبوع الماضي.
- كما واجه Yearn Finance ثغرة في أوائل ديسمبر أثرت على عقد عملتها القديم yETH، حيث استنزفت حوالي 9 ملايين دولار.
تسلط هذه السلسلة من الحوادث الضوء على التطور المتزايد في الهجمات الموجهة للتمويل اللامركزي DeFi، خاصة تلك التي تستهدف العقود الوكيلة ومفاتيح المدير والأنظمة القديمة.
الأسئلة الشائعة
ما هي عملة USPD وما الذي حدث لها؟
عملة USPD هي عملة مشفرة تعرضت لاختراق أمني حيث استولى مهاجم على عقدها الوكيل وسك كميات كبيرة بشكل غير قانوني وسحب أموال بقيمة مليون دولار.
هل العقد الذكي نفسه به خلل؟
لا، وفقًا للفريق، فإن عقد الذكاء الآمن الذي تم تدقيقه ليس هو المشكلة. جاء الاختراق من هجوم تقني استهدف مرحلة نشر العقد الوكيل.
ماذا يجب أن يفعل حاملو عملة USPD الآن؟
نصح فريق USPD المستخدمين بعدم شراء العملة وسحب أي صلاحيات (Revoke Approvals) منحوها للعقد المتعلق بها على شبكة إيثيريوم، وانتظار تحديثات جديدة من الفريق.
