$1M 被掏空：駭客「幽靈」協議攻擊曝光

USPD 穩定幣協議遭遇先進 CPIMP 攻擊，損失 100 萬美元。部署期間，駭客取得控制權後潛伏數月，最終掏空資金庫。

USPD 協議證實發生重大漏洞。攻擊者鑄造了 9,800 萬枚 USPD 代幣。大約 232 枚 stETH 被從流動性池中清算。

隱蔽攻擊自九月以來未被察覺

這並非代碼漏洞被入侵。USPD 曾由 Nethermind 和 Resonance 進行安全審計。此次事件中智能合約邏輯未被破壞。

攻擊者利用了 CPIMP 攻擊向量，即「代理之中的秘密代理」（Clandestine Proxy in the Middle of Proxy）。這起事件發生在 9 月 16 日部署時。

駭客利用 Multicall3 交易協助初始化代理。在部署腳本完成前，管理員權限已被竊取。一個暗影實現將調用發送到經過審計的有效代碼。

Etherscan 驗證工具被徹底欺騙

攻擊者的存在被事件負載的操控所隱藏。存儲槽偽造繞過了 Etherscan 驗證系統。該網站顯示經審計的合約仍在運行。

昨日仍可通過隱藏手法訪問代理並進行升級。未授權代幣席捲全球。鑄幣操作後，流動性隨即被抽乾。

你可能還喜歡： 加密駭客新聞：北韓駭客利用 EtherHiding 進行加密盜竊

執法機構與 CEX 正在追蹤被盜資金

USPD 代表已將攻擊者地址標記給主要交易所。通知已發送至中心化與去中心化平台。目前，資金流動監控已於多平台啟動。

目前有兩個地址正在調查中。感染者錢包 = 0x7C97313f349608f59A07C23b18Ce523A33219d83。抽水地址 = 0x083379BDAC3E138cb0C7210e0282fbC466A3215A。

團隊提供了白帽解決方案。攻擊者可退還 90% 被盜資金。資金一經追回，執法程序將停止。

USPD 官員已保證很快將發布技術事後分析報告。社群透明度仍為首要任務。與主要安全機構的資金追討仍在進行中。

此協議揭示了新型攻擊向量正挑戰資安底線。即便最嚴格的審計也未能阻止這種先進攻擊。整個產業現正關注其影響。