Edgen Crypto·Dec 05 2025, 06:59USPDプロトコルは、232 stETHの損失につながる重大なセキュリティ侵害を受けました。攻撃者は9,800万のUSPDトークンを鋳造してプロトコルの流動性を枯渇させ、投資家の信頼に深刻な影響を与え、DeFiセクター内の永続的な脆弱性を浮き彫りにしました。
USPD分散型金融(DeFi)プロトコルは、洗練されたエクスプロイトにより、約232のステーキングされたイーサ(stETH)の損失を被りました。攻撃者は致命的な脆弱性を悪用して9800万のUSPDトークンを鋳造し、その後、プロトコルの流動性プールを枯渇させるために使用しました。この事件はUSPDプロトコルへの信頼崩壊を引き起こし、DeFiエコシステムに蔓延する固有のセキュリティリスクを厳しく再認識させ、他の最近の数百万ドル規模のエクスプロイトのメカニズムを反映しています。
攻撃は、USPDトークンの無許可の鋳造を可能にする脆弱性を介して展開されました。犯人はヌルアドレスから9800万のUSPDトークンを生成し、大規模な人為的な供給を作り出しました。これらの不正なトークンは、その後、プロトコルの流動性プールに保持されている正当な資産と交換され、貴重な担保を効果的に枯渇させました。抽出された主要な資産は232のstETHでした。
スマートコントラクトのロジックの欠陥が無限または恣意的なトークン作成を可能にするこの攻撃方法は、DeFiにおける既知のベクトルです。供給量の増加はトークンの価値をほぼゼロにまで下落させ、攻撃者はプール内の正当な資産の全準備金をわずかなコストで購入できるようになります。
USPDトークンに対する即座の市場反応は、ハイパーインフレ的な鋳造が既存のトークンを無価値にしたため、非常に弱気でした。プロトコルに流動性を提供したstETHの保有者にとって、この事件は直接的な経済的損失を意味します。より広範には、この事件は、規模が小さく、監査が少ないDeFiプロトコルを取り巻くリスク回避的な感情を強化します。これは、スマートコントラクトのセキュリティに関連する運用リスクと、脆弱性が悪用された場合の資本の全損失の可能性を浮き彫りにします。
USPD事件に関する具体的なコメントはありませんが、同様のエクスプロイトの分析は関連する洞察を提供します。最近のYearn Financeに対する強奪事件の後、Check Point Researchは原因がキャッシュストレージシステムの「非同期問題」であったと指摘しました。彼らのコメントは、このカテゴリのエクスプロイトに広く適用されます。
「防御者にとって、このエクスプロイトは、複雑なシステムにおける正確性には、ハッピーパスだけでなく、すべての状態遷移を明示的に処理する必要があることを再確認させます...トランザクションシミュレーションとシーケンスレベルの監視、および異常な鋳造行動の制限を実装していれば、このような侵害は回避できたでしょう。」
この視点は、USPDのエクスプロイトが、より厳格な状態管理と、異常に大規模な鋳造イベントなどの異常なコントラクトインタラクションの監視によっておそらく予防できたことを示唆しています。
この攻撃は孤立したイベントではなく、DeFiセクターを標的とする持続的なエクスプロイトの傾向の一部です。これは、yETHプール内の脆弱性により約900万ドルの損失につながった最近のYearn Finance事件と直接的な類似点があります。両方の攻撃は、トークン残高を操作し、資産を枯渇させるために、コントラクトロジックの欠陥を利用しました。
これらのイベントは集合的に、DeFi業界にとっての重要な課題、つまり大規模なコードの整合性とセキュリティの確保を浮き彫りにしています。投資家にとっては、複数の独立した監査、堅牢な内部セキュリティ慣行、実績のある安定性記録を持つプロトコルを優先するデューデリジェンスの必要性を再確認させます。開発者にとっては、状態操作や予期せぬエッジケースに耐性のあるシステムを設計する必要性を強調しています。