$1M 被盗：黑客“幽灵”协议攻击曝光

USPD稳定币协议遭遇高级CPIMP攻击，损失达100万美元。在部署期间，黑客控制了协议并潜伏数月，最终将资金席卷一空。

USPD协议证实发生了严重漏洞利用。攻击者铸造了9800万枚USPD代币。约232枚stETH在流动性池中被清算。

隐藏攻击自9月以来未被察觉

此次事件并非代码漏洞导致。USPD曾由Nethermind和Resonance进行安全审计。智能合约的逻辑在事件中未被破坏。

相反，攻击者利用了CPIMP攻击向量，即“代理中间的隐秘代理”（Clandestine Proxy in the Middle of Proxy）。攻击发生在9月16日部署期间。

攻击者利用Multicall3交易协助初始化代理。在部署脚本完成前，管理员权限被窃取。一个影子实现将调用发送到已通过审计的有效代码。

Etherscan验证工具被彻底欺骗

攻击者通过操控事件载荷，隐藏了自身的存在。存储槽欺骗绕过了Etherscan验证系统。该网站将已审计合约展示为正常运行的实现合约。

昨天通过隐藏方式访问代理，仍可进行代理升级。未授权代币瞬间涌现。铸币操作后，流动性被抽干。

你可能还感兴趣： 加密黑客新闻：朝鲜黑客利用EtherHiding进行加密货币盗窃

执法机构与中心化交易所正在追踪被盗资金

USPD代表已经将攻击者地址标记给多家主流交易所。已在中心化和去中心化平台上发出通知。目前，平台已启动资金流向监控。

目前有两个地址正在调查中。Infector钱包 = 0x7C97313f349608f59A07C23b18Ce523A33219d83。Drainer地址 = 0x083379BDAC3E138cb0C7210e0282fbC466A3215A。

团队提供了白帽解决方案路径。攻击者可返还90%被盗资金。在资金归还后，将停止执法程序。

USPD官方已承诺将很快发布技术复盘报告。社区的透明度依然是首要任务。与多家大型安全机构的追讨工作正在进行中。

该协议事件展示了新型攻击向量对安全性的巨大挑战。即使是最严格的审计也未能阻止此次高级攻击。行业范围的影响正在被关注。