Стейблкоин USPD был похищен хакерами на миллионы долларов, атака "CPIMP" скрывалась несколько месяцев и в итоге привела к взлому

2025-12-05 06:28:23

[Bitpush] Стейблкоин-проект USPD недавно потерпел крупный провал — его взломали, и убытки напрямую превысили миллион долларов.

Официально подтверждено, что протокол был взломан. Атакующий действовал крайне грязно: несанкционированно выпустил токены и полностью выкачал ликвидность из пула. Сейчас команда проекта срочно обращается ко всем пользователям: немедленно отзовите разрешения на токены USPD в контракте, чтобы не попасть под повторный взлом.

Сам способ атаки довольно коварный, его называют атакой “CPIMP”. Хакер начал действовать ещё на этапе деплоя контракта — через Multicall3 опередил инициализацию прокси, перехватил права администратора, а затем замаскировал вредоносный контракт под прошедший аудит. Эту схему удалось скрывать несколько месяцев, пока при недавнем обновлении прокси всё не вскрылось.

Данные удручают: атакующий выпустил примерно 98 миллионов USPD и вывел около 232 stETH. Команда уже опубликовала адреса злоумышленника — это в основном кошельки 0x7C97…9d83 (Infector) и 0x0833…215A (Drainer).

В настоящее время команда сотрудничает с правоохранительными органами и белыми хакерами для отслеживания похищенных средств. Злоумышленнику предложили вернуть деньги добровольно и получить 10% в качестве вознаграждения. Однако, судя по всему, это больше формальность.

STETH1.17%

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

8 Лайков

Награда
8
7
Репост
Поделиться

комментарий

0/400

BitcoinDaddy

· 12-05 06:57

Опять эта старая схема: уже на этапе деплоймента их обчистили, аудит как фикция. В этой сфере слишком много подводных камней.

Посмотреть ОригиналОтветить0

DefiPlaybook

· 12-05 06:56

Опять та же схема: закладывают уязвимость ещё на этапе деплоймента, а аудиторы как это не заметили? Атака через CPIMP действительно грязная — несколько месяцев скрывали, только сейчас вскрылось... По-хорошему, такие уязвимости уже давно должны быть стандартизированы и предотвращаться на уровне индустрии. --- 98 миллионов токенов создано из воздуха — вот цена централизованного управления: права на frontrun можно просто так передать, сравнимо с той волной 2020 года. --- Скорее отменяйте разрешения, но проблема в том, что уже выведенные средства... Каковы шансы их вернуть? --- В этот раз получится ли вернуть средства, или опять всё сведётся к добавлению новых адресов в чёрный список? Ощущение, что в криптомире планы реагирования на ЧП вообще не эволюционируют. --- 232 stETH тратят по-разному, атакующий буквально показывает, что такое "не оставить следов" — даже миксер не нужен. --- По сути, аудит смарт-контрактов до сих пор слишком слабый: код, прошедший аудит, бывает совершенно разного качества.

Посмотреть ОригиналОтветить0

MEVictim

· 12-05 06:48

Чёрт, опять то же самое? Уже на этапе развертывания напортачили, а скрывалось это так долго — аудит что, спал?

Посмотреть ОригиналОтветить0

MemeTokenGenius

· 12-05 06:45

Опять какие-то подводные камни на этапе деплоймента, почему никто этого не заметил пару месяцев назад... Название CPIMP уже само по себе какое-то подозрительное, подожди, сейчас посмотрю, не завалялось ли у меня в кошельке ещё этих бесполезных монет.

Посмотреть ОригиналОтветить0

WalletDivorcer

· 12-05 06:42

Опять стейблкоин рухнул, аудит был впустую, на этапе деплоймента контракта уже пробили дыру насквозь.

Посмотреть ОригиналОтветить0

LightningSentry