Nel settore DeFi il recente attacco alla stablecoin USPD rilancia i timori sulla sicurezza dei protocolli, dopo un exploit sofisticato che ha portato a perdite superiori a 1 milione di dollari.
Summary
Attacco al protocollo USPD: conio illecito e liquidità prosciugata
Il protocollo di finanza decentralizzata US Permissionless Dollar ha subito una grave violazione di sicurezza, con conio non autorizzato del suo token ancorato al dollaro e il drenaggio di oltre 1 milione di dollari in liquidità.
Secondo il rapporto pubblicato sull’account X ufficiale del team USPD, l’attaccante ha depositato circa 3.122 ETH come collateral, sfruttando un bug che gli ha consentito di creare in un’unica transazione circa 98 milioni di token USPD.
Il meccanismo ha generato una quantità di token pari a dieci volte il deposito iniziale e ha permesso al soggetto malevolo di sottrarre ulteriori 237 stETH come garanzia. Le stablecoin rubate sono state poi convertite in circa 300.000 dollari in USDC tramite il DEX Curve.
Inoltre, gli sviluppatori del protocollo e vari account di cybersecurity, tra cui PeckShield Alert, hanno diffuso immediatamente un avviso agli utenti dopo l’individuazione della falla: l’invito è stato a non acquistare USPD e a revocare subito tutte le approvazioni attive.
Dettagli tecnici dell’attacco CPIMP e uso dei proxy
Nel proprio resoconto, il protocollo ha spiegato che la violazione ha sfruttato un vettore complesso denominato CPIMP, acronimo di “Clandestine Proxy In the Middle of Proxy”, una forma avanzata di attacco basata sui proxy.
USPD ha chiarito che l’attaccante ha anticipato l’inizializzazione del proxy il 16 settembre durante il deployment, utilizzando una transazione Multicall3. Così è riuscito a intervenire prima che gli script del protocollo venissero eseguiti completamente.
Grazie a questa tecnica, il soggetto ha acquisito in modo silente i diritti amministrativi, attendendo per mesi prima di iniziare a coniare token senza autorizzazione. Nel frattempo ha implementato un contratto “ombra” che inoltrava le chiamate al codice verificato di USPD.
Detto ciò, l’attaccante ha poi introdotto una manipolazione dei payload degli eventi e un meccanismo di “storage slot spoofing” per ingannare Etherscan, che continuava a mostrare il contratto originale sottoposto ad audit, rendendo di fatto invisibile la modifica.
In un aggiornamento, il team ha spiegato che questa mimetizzazione ha consentito all’attore malevolo di restare nascosto per mesi, eludendo sia gli strumenti automatici di verifica sia i controlli manuali. Alla fine ha usato l’accesso occulto per aggiornare il proxy, coniare circa 98 milioni di USPD e drenare circa 232 stETH.
Un analista on-chain ha confermato la ricostruzione del protocollo, sottolineando che l’inizializzazione del proxy in fase di deployment ha reso possibile l’exploit: l’attaccante ha rivendicato i privilegi di amministratore, installato una implementazione ombra e indotto Etherscan a mostrare il contratto auditato, mascherando l’intervento.
Indagini, collaborazione con le autorità e offerta di bug bounty
In risposta all’attacco, USPD ha dichiarato di collaborare attivamente con le forze dell’ordine e con gruppi di sicurezza whitehat per rintracciare e bloccare i fondi sottratti. Il team ha spiegato di aver segnalato gli indirizzi dell’attaccante ai principali CEX e DEX per tentare di congelare ogni ulteriore movimento.
Inoltre, i responsabili del protocollo si sono detti pronti a raggiungere un accordo con l’attaccante qualora i fondi venissero restituiti al netto di una bug bounty standard del 10%. In tal caso, promettono di interrompere ogni azione legale e invitano il soggetto a contattarli direttamente o a restituire il 90% degli asset rubati per chiudere la vicenda.
Secondo il team, nonostante audit approfonditi e l’adozione delle migliori pratiche, il protocollo è comunque caduto vittima di un vettore di attacco emergente e particolarmente complesso. USPD ha assicurato alla comunità di essere impegnato con tutti i mezzi disponibili per il recupero degli asset sottratti.
In questo contesto, l’episodio mette in luce come anche un meccanismo avanzato di gestione tramite proxy possa diventare un punto di vulnerabilità, soprattutto quando viene sfruttato con strategie sofisticate come un attacco proxy clandestino.
Impatto sul peg della stablecoin e confronto con altri attacchi DeFi
Secondo i dati di CoinMarketCap, l’ancoraggio della stablecoin al dollaro non risulta finora compromesso, mentre il volume di scambio è calato del 20% nelle ultime 24 ore, attestandosi intorno a 2,56 milioni di dollari.
Nel complesso, l’ammontare sottratto risulta inferiore rispetto alle violazioni più gravi viste in passato nel settore DeFi. Nel 2023, ad esempio, l’hack ai danni di Euler Finance aveva generato perdite superiori a 197 milioni di dollari, dopo il drenaggio di stablecoin dai suoi pool di lending.
Detto ciò, l’episodio attuale conferma che anche una stablecoin USPD di dimensioni più contenute può diventare bersaglio di vettori di attacco complessi, con ricadute potenzialmente significative sulla fiducia degli investitori.
Altri exploit recenti: i casi Yearn Finance e Balancer
Il caso USPD si inserisce in un contesto più ampio di vulnerabilità della DeFi. Lunedì scorso, Yearn Finance è stato l’ultimo protocollo a subire un exploit sul token indice di liquid staking yETH, che ha permesso al responsabile di coniare un numero praticamente illimitato di token e sottrarre circa 3 milioni di dollari in ETH.
Yearn Finance era già stato colpito da un altro attacco il 30 novembre, quando un exploit sul pool stableswap yETH aveva causato perdite per 9 milioni di dollari. Tuttavia il team ha già avviato il processo di recupero dei fondi, riuscendo finora a riottenere 2,39 milioni di dollari che verranno restituiti ai depositanti colpiti.
Un altro caso rilevante è quello di Balancer, protocollo DeFi che aveva perso 128 milioni di dollari a causa di una violazione sulla versione v2. In seguito, il team ha annunciato piani per rimborsare circa 8 milioni di dollari ai fornitori di liquidità maggiormente danneggiati.
Considerazioni finali sui rischi strutturali nella DeFi
Gli eventi che hanno coinvolto USPD, Yearn Finance e Balancer evidenziano come la complessità tecnica dei protocolli basati su smart contract introduca superfici di attacco crescenti, in particolare quando si usano architetture a proxy e sistemi di upgrade dinamici.
Inoltre, la capacità degli attaccanti di nascondersi per mesi all’interno dell’infrastruttura, come mostrato dall’exploit CPIMP, rende fondamentale rafforzare le pratiche di audit continuo, il monitoraggio on-chain e i meccanismi di risposta rapida per mitigare le perdite in tempo reale.
Nel complesso, il caso USPD conferma che la DeFi resta un ambiente ad alto rischio, dove innovazione finanziaria e minacce informatiche procedono in parallelo, imponendo a sviluppatori e utenti una crescente consapevolezza operativa.
