Hacker mint 98 miljoen tokens bij USPD-exploit

Volgens een incidentrapport op het officiële X-account van het USPD-team stortte een hacker ongeveer 3.122 ETH als onderpand en misbruikte vervolgens een fout in het systeem. Door deze bug kon de aanvaller in één transactie zo’n 98 miljoen USPD-tokens aanmaken.

De hacker kreeg zo tien keer meer tokens dan het bedrag dat hij had ingelegd. Daarna haalde hij ook nog 237 stETH weg. De gestolen stablecoins wisselde hij om voor ongeveer $300.000 aan USDC via de exchange Curve.

Kort daarna waarschuwden de ontwikkelaars van USPD alle gebruikers. Volgens hen is er een groot lek ontdekt en zij riepen iedereen op om geen USPD te kopen en alle toestemming voor transacties in te trekken.

USPD legt uit dat de aanval een ingewikkelde methode gebruikte genaamd CPIMP. De hacker nam tijdens de installatie van het protocol al controle over een proxy. Dit deed hij op 16 september via een Multicall3-transactie.

Door deze truc te gebruiken kreeg hij stiekem admin-rechten, nog voordat het protocol klaar was met installeren. De hacker wachtte daarna een aantal maanden. Hij gebruikte een “schaduwcontract” dat eruitzag als de normale geauditeerde code, waardoor alles op Etherscan normaal leek.

USPD schreef dat deze camouflage ervoor zorgde dat de hacker lange tijd onzichtbaar bleef. Toen hij toesloeg, kon hij de proxy aanpassen, 98 miljoen USPD minten en 232 stETH weghalen. Analist Emmet Gallic bevestigde dat de fout ontstond doordat de proxy-initialisatie misging tijdens de uitrol van het protocol.

USPD gaf aan momenteel samen te werken met politie en beveiligingsgroepen. Zij proberen de gestolen fondsen te blokkeren en de adressen van de hacker zijn gemeld bij grote crypto-exchanges. Het team zegt dat het de zaak wil oplossen als de hacker 90% van de fondsen teruggeeft. De hacker mag de overige 10% houden als bug bounty. Als hij dat doet, stopt USPD alle juridische stappen.

USPD zei dat zij ondanks audits en goede beveiliging toch zijn geraakt door deze nieuwe en complexe aanval. Het team werkt aan het terughalen van de gestolen middelen. De stablecoin is momenteel nog steeds gekoppeld aan de dollar, maar het handelsvolume is wel met 20% gedaald ten opzichte van 24 uur geleden.

In 2023 werd Euler Finance aangevallen, waarbij er meer dan $197 miljoen verloren ging. Vorige week werd Yearn Finance getroffen. De aanvaller kon een onbeperkt aantal yETH-tokens maken en stal ongeveer $3 miljoen aan ETH. Yearn herstelt nog van een eerdere aanval, waar $9 miljoen werd gestolen. Tot nu toe heeft het team $2,39 miljoen teruggekregen.

Balancer, dat $128 miljoen verloor door een hack, heeft aangekondigd dat het ongeveer $8 miljoen zal terugbetalen aan gebruikers.