黑客从 USPD 稳定币协议中窃取了 100 万美元

去中心化金融协议美国无需许可美元遭遇安全漏洞，导致其稳定币未经授权被铸造，超过 100 万美元的流动性被抽走。 

根据 USPD 团队官方 X 账户发布的dent 报告，攻击者存入了约 3,122 个 ETH 作为抵押品，并利用一个漏洞，在一次交易中铸造了约 9800 万个 USPD 代币。 

该过程产生的代币数量是初始存款的十倍，并使黑客得以额外盗取 237 个 stETH 抵押品。被盗的稳定币随后通过去中心化交易所 Curve 兑换成价值约 30 万美元的 USDC。

dent此次安全漏洞后立即向用户发出警告称：

“我们已确认USPD协议遭到严重攻击，导致未经授权的增发和流动性枯竭。请勿购买USPD。立即撤销所有授权。”

美国警察局黑客利用代理欺骗协议，使其铸造货币。 

DeFiDeFiMulticall3抢先执行了代理初始化。

2/ 这不是我们智能trac逻辑的缺陷。

USPD协议经过了顶级公司@NethermindEth和Resonance的严格安全审计。我们的代码经过了全面的单元测试，并严格遵循行业标准。逻辑本身是安全的。

— USPD.IO | 去中心化国家的美元 (@USPD_io) 2025年12月4日

黑客利用 CPIMP 在协议脚本完全执行之前悄悄夺取了管理权限，并等待数月后开始未经授权地铸造代币。他们实施了一个“影子”trac，将调用转发到 USPD 的审计代码，然后巧妙地篡改了事件有效载荷并欺骗了存储槽，从而诱使 Etherscan 显示原始的审计trac。 

USPD 写道：“这种伪装让攻击者得以在众目睽睽之下隐藏数月，绕过了验证工具和人工检查。今天，他们利用隐藏的访问权限升级了代理服务器，铸造了约 9800 万枚 USPD，并窃取了约 2.32 亿枚 stETH。”

区块链分析师 Emmet Gallic 重申了 DeFi 协议的分析，并补充说，代理初始化导致了部署期间的攻击。 

他推测说：“攻击者获取了管理员权限，安装了一个影子程序，伪造了 Etherscan，使其显示经过审计的trac。该协议被黑客攻击了数月之久。”

美国警方将继续调查，并承诺悬赏缉拿黑客

针对此次攻击，美国警察局表示，他们正与执法部门和白帽安全组织密切合作， trac并冻结被盗资金。“我们已将攻击者的地址标记在所有主要的中心化交易所（CEX）和去中心化交易所（DEX）中，以冻结资金流动，”该团队透露。

该协议还表示，如果攻击者归还资金（扣除标准的10%漏洞赏金），他们愿意与攻击者解决问题。该协议承诺，如果攻击者接受此提议，将停止所有执法行动，并鼓励攻击者直接与他们联系，或归还90%的被盗资产以解决问题。

“尽管我们进行了严格的审计并遵守了最佳实践，但我们仍然成为了这种新兴且高度复杂的攻击手段的受害者，这让我们感到非常痛心。我们正在尽一切努力追回资产，”美国警察局向其社区表示。

据 CoinMarketCap 数据显示，该稳定币与美元的挂钩目前尚未受到影响，但其交易量在过去 24 小时内下降了 20%，至约 256 万美元。

DeFi 稳定币协议漏洞曾经比 USPD 面临的漏洞要大得多，包括 2023 年 Euler Finance 遭受的黑客攻击，导致其借贷池中的稳定币被抽走，损失超过 1.97 亿美元。 

11 月漏洞攻击后，两个 DeFi 协议进入恢复模式。

上周一，Yearn Finance成为最新一个遭遇流动性质押指数代币yETH漏洞攻击的协议。攻击者铸造了几乎无限数量的代币，并窃取了价值约300万美元的ETH。 

Yearn Finance此前于11月30日遭遇yETH稳定币池900万美元的资金被盗事件，但据Cryptopolitan报道，该公司已开始追回被盗资金。目前，团队已成功追回239万美元，这些资金将返还给受影响的存款人。

Balancer 是另一个因 v2 版本漏洞而损失 1.28 亿美元的 DeFi 协议，该公司上周宣布计划向流动性提供者偿还约 800 万美元。

通过指导和每日想法来完善您的策略 - 30 天免费访问我们的交易计划