USPD Protocol 遭受透過「CPIMP」攻擊向量的漏洞利用

• 儘管通過了 Nethermind 和 Resonance 的審計，USPD 協議仍然通過一種罕見的 CPIMP 漏洞被攻擊。
• 攻擊者利用不同技術，使他們能夠創建未經授權的代幣並在不被發現的情況下耗盡流動性。

幾小時前，USPD 團隊確認了一次攻擊，導致平台遭受未經授權的代幣創建和流動性損失。

根據詳細信息，這次漏洞並非來自協議智能合約設計的錯誤，而是由一種不尋常且極其複雜的方法引起的，稱為代理中間代理隱蔽攻擊（Clandestine Proxy In the Middle of Proxy，CPIMP）。這是個複雜的概念？讓我來解釋一下。

駭客如何利用 CIMP 攻擊 USPD 協議

在 USPD 啟動之前，系統經過了兩家不同且受人尊敬的審計公司 Nethermind 和 Resonance 進行的廣泛安全審查。在審計過程中，平台的每個部分都經過測試、檢查和驗證，當它啟動時，架構遵循了典型的行業級安全實踐，代碼庫的所有單元都通過了評估。

然而，儘管採取了高級流程，攻擊者仍然設法在 9 月 16 日滲透了部署過程。在推出過程中，攻擊者成功地使用 Multicall3 交易精確執行了一次定時前置運行。

這一步使他們有機會在部署腳本到達最終確定所有權的步驟之前獲得代理管理員角色的控制權。在他們成功獲取控制權後，攻擊者在代理後面插入了不同的實現。

延伸閱讀：Binance Coin 保持關鍵支撐，市場信號指向可能的突破

通過這樣做，設置將每個請求轉發到原始的、經過驗證的合約。因此，從外部看（即 USPD 團隊和用戶方面）沒有任何可疑之處。他們還操縱了事件數據並更改了存儲槽，使 Etherscan 顯示正確的、經過審計的合約作為活動實現。

通過觀察這一點，我們可以清楚地看到駭客精心地執行了每一步，悄無聲息、精確且幾乎不可能在實時中被檢測到。

另一方面，USPD 團隊表示，他們正在與執法機構和網絡安全專家合作，確保駭客被揭露。此外，攻擊者的錢包已被報告給主要的中心化和去中心化交易所，以阻止被盜資產的流動。

延伸閱讀：美國司法部查封與東南亞有關的加密貨幣詐騙域名