Децентрализованный стейблкоин USPD взломан: атака через скрытый прокси унесла $1 млн

«Самая опасная уязвимость — та, которую никто не видит, потому что она выглядит как нормальный код.»
— Сам Сун, исследователь безопасности в OpenZeppelin

5 декабря 2025 года протокол децентрализованного стейблкоина USPD сообщил о критическом инциденте безопасности: злоумышленник, получивший контроль над прокси-контрактом ещё в сентябре, тайно создал 98 миллионов токенов USPD и вывел 232 stETH, эквивалентные примерно $1 миллиону. Особую тревогу вызывает метод атаки — так называемая CPIMP-эксплуатация (Compromised Proxy Implementation Manipulation Post-deployment), при которой вредоносный код остаётся полностью невидимым для пользователей, аудиторов и даже обозревателей вроде Etherscan.

🕵️‍♂️ Как всё началось: фронт-ран во время деплоя

Атака произошла 16 сентября 2025 года — ещё до официального запуска протокола. В момент развёртывания основного контракта злоумышленник использовал транзакцию Multicall3, чтобы фронт-ранить инициализацию и захватить права администратора прокси-контракта. Это позволило ему внедрить альтернативную реализацию, которая внешне выглядела как оригинальная, прошедшая аудит у таких фирм, как Nethermind и Resonance.

Скрытый контракт-«двойник» перенаправлял все вызовы к легитимной логике, но при этом управлял событиями и хранилищем так, чтобы Etherscan отображал только официальный адрес реализации. В результате ни разработчики, ни пользователи не могли заподозрить компрометацию — система вела себя абсолютно нормально… до тех пор, пока хакер не решил воспользоваться своими правами.

💥 Момент эксплойта: мгновенное создание 98 млн USPD

Через два с лишним месяца, 5 декабря, атакующий выполнил обновление прокси до вредоносной версии и инициировал функцию mint с произвольным объёмом. Всего за одну транзакцию было создано 98 000 000 USPD, которые тут же были обменяны на 232 stETH через интеграцию с Lido. Эти средства были немедленно переведены на кошельки, не связанные с основной ликвидностью протокола.

Команда USPD мгновенно остановила все операции, отключила возможность монетизации и призвала пользователей немедленно отозвать все approve-разрешения через Revoke.cash или аналоги. Также было рекомендовано не покупать USPD на вторичных рынках, так как токен временно потерял привязку к своему обеспечению.

🧩 Почему аудит не помог: иллюзия безопасности

Протокол USPD прошёл тщательный аудит — и логика контракта действительно была безопасной. Проблема крылась не в коде, а в процессе деплоя. CPIMP-атаки нацелены именно на этот слепой пятно: даже идеальный код становится бесполезным, если злоумышленник контролирует точку подключения через прокси.

Это уже не первый случай. В 2024–2025 годах подобные инциденты произошли с:

• Liquid Staking Protocol (LSP) — $2.3 млн ущерба.
• Silo Finance — $1.8 млн через компрометацию proxy admin.
• Balancer v3 testnet — уязвимость была найдена white-hat хакером до mainnet.

По данным Immunefi, 31% всех крупных взломов DeFi в 2025 году связаны с неправильной настройкой прав доступа к прокси-контрактам или утечкой приватных ключей деплоя.

🛡️ Ответ: баг-баунти и сотрудничество с правоохранительными органами

Команда USPD предложила хакеру стандартную white-hat сделку: если 90% средств будут возвращены в течение 72 часов, инцидент будет расценён как ответственное раскрытие уязвимости, а не кража. Такой подход уже спас миллионы в случаях с Wormhole и Multichain.

Одновременно запущено сотрудничество с:

• Цепочными аналитиками (Chainalysis, Elliptic) для отслеживания flow of funds.
• Крупными биржами (Binance, Coinbase) для блокировки вывода stETH.
• Правоохранительными органами США и ЕС по каналам киберпреступности.

🔍 Урок для всей экосистемы: как защитить прокси-контракты

Экспертное сообщество уже предлагает решения:

• Multi-sig для proxy admin — минимум 3 из 5 подписей для любого обновления.
• Timelock-контракты — обязательная задержка в 48–72 часа между принятием решения и его исполнением.
• Zero-knowledge доказательства целостности — системы, проверяющие, что реализация не была заменена.
• Публичные записи всех этапов деплоя в GitHub с подписью GPG.

Кроме того, растёт интерес к прокси-фреймворкам нового поколения, таким как OpenZeppelin Defender и Safe{Deployer}, которые автоматически проверяют отсутствие front-run при развёртывании.

🌐 Контекст: декабрь 2025 — месяц крупных взломов

Инцидент с USPD — часть тревожной тенденции. Только за первую неделю декабря 2025 года:

• Upbit потерял $37 млн из-за атаки Lazarus Group на Solana-активы.
• Yearn Finance столкнулся с эксплойтом yETH, унеся $11 млн, из которых $3 млн ушли в Tornado Cash.
• Solana DEX-агрегатор был скомпрометирован через вредоносное расширение Chrome.

Общий ущерб за декабрь уже превысил $100 млн, что делает его одним из самых разрушительных месяцев года для DeFi. Причина — сочетание зрелой ликвидности, сложных композабельных систем и недостаточного внимания к «операционной безопасности» разработчиков.

🔮 Будущее: от одноточечных отказов к децентрализованной безопасности

Эксперты предсказывают рост спроса на:

• mpc (multi-party computation) для управления приватными ключами деплоя.
• On-chain страхование вроде Nexus Mutual для покрытия рисков proxy-уязвимостей.
• Обязательные симуляции атак перед каждым деплоем через такие инструменты, как Tenderly Fork или Foundry.

Как сказал исследователь из Trail of Bits: «Безопасность DeFi больше не в коде. Она в процессе — от первого коммита до последнего сигнала в мультиподписи.»

✅ Заключение: доверяй, но верифицируй — особенно прокси

Взлом USPD — напоминание, что в мире умных контрактов доверие к коду недостаточно. Нужно доверять и процессу: кто деплоит, как защищены ключи, как проверяется целостность. Потому что даже самый аудированный протокол может превратиться в ворота для хакера — если злоумышленник стоит у самого входа.

И как гласит старая пословица блокчейн-разработчиков: «Если ты не проверил прокси — ты не запустил протокол. Ты открыл дверь.»