uspd
Просмотров: 322
4 обсуждают
Популярные
Новые
См. оригинал
🚨 ПРЕДУПРЕЖДЕНИЕ О СЛУЧАЕ | Стейблкоин USPD подвергся атаке "спящей бомбы", убытки составили миллион долларов
💸 Ядро события
По подтверждению таких организаций, как PeckShield, стейблкоин проект USPD недавно подвергся тщательно спланированной атаке "CPIMP" (посредник). Злоумышленники захватили процесс инициализации проекта, внедрив спящий вредоносный код, который активировался через несколько месяцев, незаконно выпустив 98 миллионов USPD и похитив около 232 stETH, общие убытки составили около 1 миллиона долларов.
🔍 Разбор методов атаки
Опередив развертывание, захватив "корону": на этапе развертывания проекта злоумышленники использовали инструмент Multicall3, чтобы первыми инициализировать контракт посредника, в результате чего тайно получили права высшего администратора.
Внедрение "спящей логики": злоумышленники замаскировали вредоносную логику обновления под проверенный нормальный код контракта и одновременно развернули её, эта логика оставалась в спящем состоянии, избежав проверок безопасности до и после запуска.
Прождав несколько месяцев, внезапно активировались: после того, как команда и сообщество расслабились на несколько месяцев, злоумышленники удаленно активировали спящую логику, выполнили вредоносное обновление и мгновенно совершили крупное похищение.
💡 Предупреждение о безопасности в отрасли
Аудит имеет "временные слепые зоны": традиционный одноразовый аудит не способен защитить от таких "высоких устойчивых угроз", которые продолжаются в течение нескольких месяцев. Код в момент аудита "чист", это не означает, что он останется безопасным навсегда.
Процесс развертывания является смертельной слабостью: самый уязвимый момент проекта часто происходит в момент его запуска. Необходимо стандартизировать и защитить сам процесс развертывания (например, инициализацию посредника) с помощью многофакторной проверки.
Постоянный мониторинг необходим: для проектов с возможностью обновления через посредников необходимо установить 7×24 часов аномальный мониторинг для управления контрактами и действиями по обновлению.
#智能合约安全 #高级持续性威胁 #代理攻击 #USPD
💸 Ядро события
По подтверждению таких организаций, как PeckShield, стейблкоин проект USPD недавно подвергся тщательно спланированной атаке "CPIMP" (посредник). Злоумышленники захватили процесс инициализации проекта, внедрив спящий вредоносный код, который активировался через несколько месяцев, незаконно выпустив 98 миллионов USPD и похитив около 232 stETH, общие убытки составили около 1 миллиона долларов.
🔍 Разбор методов атаки
Опередив развертывание, захватив "корону": на этапе развертывания проекта злоумышленники использовали инструмент Multicall3, чтобы первыми инициализировать контракт посредника, в результате чего тайно получили права высшего администратора.
Внедрение "спящей логики": злоумышленники замаскировали вредоносную логику обновления под проверенный нормальный код контракта и одновременно развернули её, эта логика оставалась в спящем состоянии, избежав проверок безопасности до и после запуска.
Прождав несколько месяцев, внезапно активировались: после того, как команда и сообщество расслабились на несколько месяцев, злоумышленники удаленно активировали спящую логику, выполнили вредоносное обновление и мгновенно совершили крупное похищение.
💡 Предупреждение о безопасности в отрасли
Аудит имеет "временные слепые зоны": традиционный одноразовый аудит не способен защитить от таких "высоких устойчивых угроз", которые продолжаются в течение нескольких месяцев. Код в момент аудита "чист", это не означает, что он останется безопасным навсегда.
Процесс развертывания является смертельной слабостью: самый уязвимый момент проекта часто происходит в момент его запуска. Необходимо стандартизировать и защитить сам процесс развертывания (например, инициализацию посредника) с помощью многофакторной проверки.
Постоянный мониторинг необходим: для проектов с возможностью обновления через посредников необходимо установить 7×24 часов аномальный мониторинг для управления контрактами и действиями по обновлению.
#智能合约安全 #高级持续性威胁 #代理攻击 #USPD
Войдите, чтобы посмотреть больше материала