Хакер‑невидимка в криптомире: как злоумышленник годами управлял USPD и создал 98 млн лишних токенов

Хакер нанёс DeFi-протоколу USPD урон на $1 млн

Неожиданный взлом децентрализованного протокола USPD потряс криптосообщество. Хакеру удалось с помощью сложной схемы создать токенов в десять раз больше, чем требовалось по депозиту. Разработчики оперативно предупредили пользователей об угрозе и начали расследование. Об этом сообщает TradingView.

Сложная атака и её особенности

Инцидент произошёл из-за обнаруженной уязвимости в архитектуре USPD. Неизвестный злоумышленник внёс залог в размере 3122 ETH и за одну транзакцию создал 98 миллионов токенов USPD — сумма, многократно превышающая исходный депозит. После этого он дополнительно получил 237 stETH и обменял похищенные активы на 300 000 стейблкоинов USDC через децентрализованную платформу Curve.

"Мы призываем пользователей воздержаться от покупки токенов USPD и немедленно отозвать все разрешения на использование протокола", — отмечается в заявлении разработчиков проекта.

Команда USPD уточнила, что причиной стала атака нового типа под названием CPIMP (Clandestine Proxy In the Middle of Proxy). Хакер заранее получил контроль над прокси-сервером, а спустя несколько месяцев активировал процесс через транзакцию Multicall3. Эта цепочка действий позволила ему тайно получить административные права и запустить внутренние скрипты протокола.

Как действовал злоумышленник

Для маскировки своих действий злоумышленник внедрил теневой контракт, перенаправлявший вызовы к безопасному и проверенному контракту. Таким образом, даже аудиторы и обозреватель Etherscan не могли обнаружить подмену.

Контракт имитировал корректные события и подделывал слоты хранения, из-за чего наблюдатели видели безопасное исполнение. На самом деле хакер управлял протоколом в течение нескольких месяцев, прежде чем обновил прокси и инициировал выпуск токенов для полного опустошения средств системы.

"Злоумышленник использовал продуманный и технически изощрённый вектор атаки, который ранее не встречался в подобных формах", — говорится в отчёте команды USPD.

Реакция разработчиков и последствия

Команда USPD незамедлительно приостановила работу с уязвимыми контрактами и обратилась за помощью к экспертам по безопасности, крупным криптобиржам и правоохранительным органам. Цель — отследить перемещение активов и предотвратить дальнейшие потери. Разработчики предложили хакеру компромисс: вернуть 90% украденных средств в обмен на статус "белого хакера" и вознаграждение за обнаружение критической уязвимости.

Подобная практика стала распространённой в индустрии — многие проекты предпочитают возвращение средств даже ценой частичного прощения нарушителя.

Масштабы криптовзломов в 2025 году

Согласно аналитике PeckShield, ноябрь стал одним из самых убыточных месяцев для криптосектора: совокупные потери от атак превысили 194 миллиона долларов, что на 969% больше, чем в октябре (18 миллионов долларов).

Основная причина — рост числа сложных атак на протоколы ликвидности и межсетевые мосты, где злоумышленники находят лазейки в смарт-контрактах и системах управления. По словам экспертов, подобные случаи демонстрируют необходимость комплексного аудита безопасности, особенно для новых проектов, работающих с деривативами и стейблкоинами.

Советы по защите криптопортфеля

Чтобы минимизировать потери в подобных случаях, пользователям рекомендуется придерживаться нескольких простых, но важных правил:

Отзывать все неиспользуемые разрешения на взаимодействие с DeFi-приложениями.
Проверять адреса контрактов перед подписанием транзакций, особенно если проект новый.
Хранить крупные суммы на аппаратных кошельках, а не в браузерных расширениях.
Следить за новостями от разработчиков — официальные каналы первыми предупреждают о взломах.
Использовать мультиподписи при работе с корпоративными или групповыми активами.

Даже простые меры могут существенно снизить вероятность потери средств, особенно при массовых атаках на смарт-контракты.