A decentralizált finanszírozás világa ismét egy olyan esettel gazdagodott, amely rávilágít a DeFi-projektek legnagyobb gyengeségére: a fejlesztési fázisban elrejtett, hosszú hónapokon át láthatatlanul várakozó sérülékenységekre.
Az USPD nevű protokoll közel 1 millió dollárt veszített egy olyan támadás során, amelyet még szeptemberben helyeztek el a rendszer alapjába – teljes csendben, nyom nélkül.
A platform most 10%-os jutalmat ajánl fel, ha a támadó visszajuttatja az ellopott eszközök 90%-át.
Hogyan történt a támadás?
A PeckShieldAlert szerint a támadó már 2025. szeptember 16-án, a proxy-rendszer telepítése közben átvette az irányítást.
Ez a mozzanat annyira korán történt a fejlesztési folyamatban, hogy a USPD saját telepítési szkriptje még be sem fejeződött.
Mire a projekt elindult, a támadó már adminisztrátori jogosultságokkal rendelkezett – anélkül, hogy bárki észrevette volna.
A támadás új típusúként került be a szakmai lexikonba: „CPIMP”, vagyis Clandestine Proxy In the Middle of Proxy.
A technika lényege, hogy a támadó egy árnyék-implementációt helyez el, amely minden műveletet továbbít a valódi, auditált szerződéshez.
Így Etherscan és más blokklánc-ellenőrző eszközök pontosan azt látják, amit látniuk kell: a hibátlan, eredeti kódot.
Valójában azonban a háttérben egy teljesen más szerződés működött.
A támadó manipulálta a tárolási adatokat és az eseménylogokat, így tökéletes illúziót keltett – gyakorlatilag teljesen láthatatlanná vált.
Amikor támadásba lendült: 1 millió dollár tűnt el percek alatt
Hónapokig semmi nem történt. A csapda türelmesen várt.
Majd elérkezett a pillanat: a támadó frissítette a proxy-szerződést, és egyetlen lépésben létrehozott közel 98 millió új USPD tokent.
Ezzel párhuzamosan 232 stETH-tokent vont ki, majd leürítette a likviditást, összesen közel 1 millió dollárnyi értéket elvíve.
A műveletet két eltérő címen keresztül hajtották végre:
– az „Infector” cím indította a manipulációt,
– a „Drainer” cím pedig kivitte a pénzt.
A támadás sebessége és precizitása alapján egyértelmű, hogy profi, előre tervezett akcióról volt szó.
USPD visszahívja a jóváhagyásokat és tárgyalna – 10% jutalmat ajánl a támadónak
A fejlesztőcsapat jelenleg hatóságokkal és etikus biztonsági kutatókkal dolgozik együtt a pénzmozgások követésén.
Eközben arra kéri a felhasználókat, hogy azonnal vonják vissza a protokollhoz adott engedélyeket.
A platform azt is jelezte, hogy hajlandó „white-hat megoldásként” kezelni az incidenst, ha a támadó visszaadja a pénzt.
Ezért 10%-os bounty-t ajánl, ha az ellopott eszközök 90%-a visszakerül.
Az USPD-incidens újabb bizonyítéka annak, hogy a DeFi egyik legnagyobb ellensége nem a volatilitás, hanem a telepítési folyamatban elrejtett, hónapokig szunnyadó sebezhetőség.
A támadó módszere ijesztően fejlett, és sok projekt számára figyelmeztetés: a proxy-alapú rendszerek minden eddiginél nagyobb körültekintést igényelnek.
Ha a közösség és a fejlesztők gyorsan reagálnak, ez az eset legalább egy fontos tanulsággá válhat.
Olvastad már? 2025 nagy dolgokat hozott az XRP számára, politikai fordulat, perlezárás határozta meg a befektetők hangulatát
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.
Kriptoworld.hu szerkesztője, a Kriptoworld.hu alapítója
LinkedIn | X (Twitter) | Facebook
A Kriptoworld.hu alapítójaként célom, hogy a kriptovilág mindenki számára érthető legyen. Szenvedéllyel követem a piac változásait, és igyekszem naprakészen, emberi nyelven átadni a lényeget. Hitelesen, egyszerűen – pont úgy, ahogy szeretném én is olvasni.
📅 Megjelenés: 2025. december 5. • 🕓 Utolsó frissítés: 2025. december 5.
✉️ Kapcsolat: [email protected]