ステーブルコインUSPDがハッカーにより数百万ドルを奪われ、「CPIMP」攻撃が数ヶ月間潜伏した末にとうとう発覚

【Bitpush】ステーブルコインプロジェクトUSPDが最近大きな痛手を受けました——ハッカーに襲撃され、被害額は一気に100万ドルを突破。

公式はすでにプロトコルが破られたことを認めています。攻撃者は非常に悪質な手口を使い、無断でトークンをミントし、そのまま流動性プールを枯渇させました。現在、プロジェクト側は緊急で告知しています：「すべてのユーザーはUSPDコントラクトのトークン承認をすぐに取り消してください、二次被害を防いでください。」

今回の攻撃手法はかなり狡猾で、「CPIMP」攻撃と呼ばれています。ハッカーはコントラクトのデプロイ段階から仕掛けており、Multicall3を利用して初期化代理を奪い合い、管理者権限を乗っ取ったあと、正常な監査済みコントラクトを装っていました。この手口は数ヶ月間も発覚せず、最近プロキシをアップグレードした際にようやく露見しました。

数字も深刻です：攻撃者は約9,800万枚のUSPDをミントし、約232枚のstETHを持ち去りました。プロジェクト側は攻撃者のアドレスも公開しています——主に0x7C97…9d83（Infector）および0x0833…215A（Drainer）の2つのウォレットです。

現在、チームは法執行機関やホワイトハッカーと協力して資金の流れを追跡しています。攻撃者には条件を提示しており、「自主的に返還すれば10%を報酬として渡す」としています。ただし、この様子からすると、あくまで形式的な措置に過ぎないでしょう。