$1M Vidangé : le protocole "Ghost" du hacker exposé

Le protocole de stablecoin USPD victime d’une attaque CPIMP sophistiquée, coûtant 1M. Lors du déploiement, le hacker a pris le contrôle et a disparu, attendant plusieurs mois avant de vider les coffres.

Une faille critique a été confirmée par le protocole USPD. L’attaquant a minté 98 millions de tokens USPD. Environ 232 stETH ont été liquidés des pools de liquidité.

L’attaque furtive est passée inaperçue depuis septembre

Il ne s’agissait pas d’une faille de vulnérabilité du code. USPD a été audité par Nethermind et Resonance en matière de sécurité. La logique des smart contracts n’a pas été compromise lors de l’incident.

En réalité, les attaquants ont utilisé un vecteur d’attaque CPIMP, abréviation de Clandestine Proxy in the Middle of Proxy. L’opération a eu lieu lors du déploiement le 16 septembre.

La transaction Multicall3 a été utilisée pour initialiser le proxy avec l’aide du hacker. Avant que les scripts de déploiement ne soient terminés, les privilèges administrateur ont été volés. Une implémentation fantôme renvoyait les appels vers le code audité et valide.

Les outils de vérification Etherscan complètement trompés

La présence de l’attaquant a été dissimulée par la manipulation du payload des événements. Le spoofing de slot de stockage a contourné le système de vérification d’Etherscan. Le site présentait les contrats audités comme des implémentations actives.

Des mises à jour du proxy étaient possibles hier en accédant à un proxy par une méthode cachée. Des tokens non autorisés ont inondé le marché. Les opérations de minting ont été suivies d’un drainage de la liquidité.

À lire aussi : Crypto Hack News : des hackers nord-coréens exploitent EtherHiding pour des vols de crypto

Les forces de l’ordre et les CEX traquent désormais les fonds volés

Les représentants de l’USPD ont identifié les adresses des attaquants auprès des principales plateformes d’échange. Des notifications ont été émises sur des plateformes centralisées et décentralisées. Le suivi des flux de fonds est désormais opérationnel sur ces plateformes.

Deux adresses sont en cours d’enquête. Wallet infecteur = 0x7C97313f349608f59A07C23b18Ce523A33219d83. Adresse de drainage = 0x083379BDAC3E138cb0C7210e0282fbC466A3215A.

L’équipe a proposé un mécanisme de résolution whitehat. Les attaquants peuvent restituer 90 % des fonds volés. Si les fonds sont récupérés, les actions en justice seront suspendues.

Les responsables de l’USPD ont assuré qu’une analyse technique post-mortem serait publiée prochainement. La transparence envers la communauté reste une priorité. Le processus de récupération se poursuit avec les principales organisations de sécurité.

Le protocole a montré comment de nouveaux vecteurs d’attaque mettent la sécurité à l’épreuve. Même les audits les plus stricts n’ont pas permis de déjouer cette attaque avancée. Une implication à l’échelle de l’industrie est désormais à l’étude.