Edgen Crypto·Dec 05 2025, 06:59USPD协议遭受了严重的安全漏洞,导致232枚stETH的损失。攻击者铸造了9800万枚USPD代币,以耗尽协议的流动性,严重影响了投资者信心,并凸显了DeFi领域持续存在的漏洞。
USPD去中心化金融(DeFi)协议遭遇复杂攻击,导致约232枚质押以太币(stETH)流失。攻击者利用一个关键漏洞铸造了9800万枚USPD代币,随后用这些代币耗尽了协议的流动性池。这一事件引发了对USPD协议信心的崩溃,并严峻地提醒人们DeFi生态系统中普遍存在的固有安全风险,其机制与近期其他数百万美元的攻击事件如出一辙。
此次攻击是通过一个允许未经授权铸造USPD代币的漏洞进行的。作案者从一个空地址生成了9800万枚USPD代币,制造了巨大的虚假供应。这些非法代币随后被兑换成协议流动性池中持有的合法资产,有效地耗尽了这些有价值的抵押品。主要被提取的资产是232枚stETH。
这种攻击方法,即智能合约逻辑中的缺陷允许无限或任意代币创建,是DeFi中已知的攻击向量。膨胀的供应将代币价值贬低至接近零,使攻击者能够以微不足道的成本购买池中所有合法资产储备。
USPD代币的即时市场反应是严重看跌的,因为超高通胀的铸造使得现有代币一文不值。对于向协议提供流动性的stETH持有者而言,此次事件意味着直接的财务损失。更广泛地说,这一事件加强了围绕规模较小、审计较少的DeFi协议的风险规避情绪。它凸显了与智能合约安全性相关的操作风险以及漏洞被利用时资本完全损失的可能性。
虽然目前没有针对USPD事件的具体评论,但对类似攻击的分析提供了相关见解。在最近针对Yearn Finance的盗窃案之后,Check Point Research指出原因是缓存存储系统中的“不同步问题”。他们的评论广泛适用于此类攻击:
“对于防御者而言,此次攻击再次强调,复杂系统中的正确性需要明确处理所有状态转换,而不仅仅是‘快乐路径’……实施交易模拟和序列级监控,以及对异常铸造行为的限制,本可以避免此类攻击。”
这一观点表明,USPD攻击可能通过更严格的状态管理和对异常合约交互(例如异常大的铸造事件)的监控来预防。
此次攻击并非孤立事件,而是针对DeFi领域持续存在的攻击趋势的一部分。它与最近的Yearn Finance事件直接相似,后者其yETH池中的漏洞导致了近900万美元的损失。两次攻击都利用了合约逻辑中的缺陷来操纵代币余额并耗尽资产。
这些事件共同凸显了DeFi行业面临的一个关键挑战:确保代码完整性和大规模安全性。对于投资者而言,它再次强调了尽职调查的必要性,即青睐经过多次独立审计、拥有强大内部安全实践和经过验证的稳定记录的协议。对于开发人员而言,它强调了设计能够抵御状态操纵和不可预见边缘情况的系统的需求。