Cuộc tấn công giao thức USPD làm mất 232 stETH

Tóm tắt điều hành

Giao thức tài chính phi tập trung (DeFi) USPD đã bị xâm phạm trong một cuộc khai thác tinh vi, dẫn đến việc mất khoảng 232 Ether đã stake (stETH). Kẻ tấn công đã tận dụng một lỗ hổng nghiêm trọng để đúc 98 triệu mã thông báo USPD, sau đó được sử dụng để rút cạn nhóm thanh khoản của giao thức. Sự kiện này đã gây ra sự sụp đổ niềm tin đối với giao thức USPD và đóng vai trò như một lời nhắc nhở rõ ràng về những rủi ro bảo mật vốn có phổ biến trong hệ sinh thái DeFi, lặp lại cơ chế của các vụ khai thác trị giá hàng triệu đô la gần đây khác.

Sự kiện chi tiết

Cuộc tấn công diễn ra thông qua một lỗ hổng cho phép đúc trái phép các mã thông báo USPD. Kẻ phạm tội đã tạo ra 98 triệu mã thông báo USPD từ một địa chỉ null, tạo ra một nguồn cung cấp nhân tạo khổng lồ. Các mã thông báo bất hợp pháp này sau đó được hoán đổi lấy các tài sản hợp pháp được giữ trong nhóm thanh khoản của giao thức, làm cạn kiệt hiệu quả các tài sản thế chấp có giá trị của chúng. Tài sản chính được trích xuất là 232 stETH.

Phương pháp tấn công này, trong đó một lỗ hổng trong logic hợp đồng thông minh cho phép tạo mã thông báo vô hạn hoặc tùy ý, là một vector đã biết trong DeFi. Nguồn cung tăng vọt làm mất giá mã thông báo xuống gần bằng 0, cho phép kẻ tấn công mua toàn bộ dự trữ tài sản hợp pháp của nhóm với chi phí không đáng kể.

Hàm ý thị trường

Phản ứng thị trường ngay lập tức đối với mã thông báo USPD đã giảm mạnh, vì việc đúc siêu lạm phát làm cho các mã thông báo hiện có trở nên vô giá trị. Đối với những người nắm giữ stETH đã cung cấp thanh khoản cho giao thức, sự kiện này đại diện cho một tổn thất tài chính trực tiếp. Nói rộng hơn, sự cố này củng cố tâm lý e ngại rủi ro xung quanh các giao thức DeFi nhỏ hơn, ít được kiểm toán hơn. Nó nhấn mạnh những rủi ro hoạt động liên quan đến bảo mật hợp đồng thông minh và khả năng mất toàn bộ vốn khi các lỗ hổng bị khai thác.

Bình luận của chuyên gia

Mặc dù không có bình luận cụ thể nào về sự cố USPD được cung cấp, nhưng phân tích các vụ khai thác tương tự cung cấp cái nhìn sâu sắc có liên quan. Sau một vụ trộm gần đây chống lại Yearn Finance, Check Point Research đã lưu ý nguyên nhân là một "vấn đề không đồng bộ" trong hệ thống lưu trữ bộ nhớ đệm. Bình luận của họ áp dụng rộng rãi cho loại khai thác này:

"Đối với những người bảo vệ, vụ khai thác này củng cố rằng tính đúng đắn trong các hệ thống phức tạp đòi hỏi phải xử lý rõ ràng TẤT CẢ các chuyển đổi trạng thái, chứ không chỉ là con đường hạnh phúc... việc triển khai mô phỏng giao dịch và giám sát cấp chuỗi, cũng như các hạn chế hành vi đúc bất thường, có thể đã ngăn chặn được một cuộc tấn công như vậy."

Quan điểm này cho thấy rằng vụ khai thác USPD có thể đã được ngăn chặn bằng cách quản lý trạng thái nghiêm ngặt hơn và giám sát các tương tác hợp đồng bất thường, chẳng hạn như các sự kiện đúc lớn bất thường.

Bối cảnh rộng hơn

Cuộc tấn công này không phải là một sự kiện đơn lẻ mà là một phần của xu hướng khai thác dai dẳng nhắm vào lĩnh vực DeFi. Nó có những điểm tương đồng trực tiếp với sự cố Yearn Finance gần đây, nơi một lỗ hổng trong nhóm yETH của nó đã dẫn đến thiệt hại gần 9 triệu đô la. Cả hai cuộc tấn công đều tận dụng các lỗ hổng trong logic hợp đồng để thao túng số dư mã thông báo và rút cạn tài sản.

Những sự kiện này cùng nhau làm nổi bật một thách thức quan trọng đối với ngành công nghiệp DeFi: đảm bảo tính toàn vẹn của mã và bảo mật ở quy mô lớn. Đối với các nhà đầu tư, nó củng cố sự cần thiết của việc thẩm định kỹ lưỡng, ưu tiên các giao thức có nhiều cuộc kiểm toán độc lập, thực tiễn bảo mật nội bộ mạnh mẽ và hồ sơ ổn định đã được chứng minh. Đối với các nhà phát triển, nó nhấn mạnh sự cần thiết phải thiết kế các hệ thống có khả năng phục hồi trước sự thao túng trạng thái và các trường hợp cạnh không lường trước được.