Das USPD-Protokoll erlitt durch einen ausgeklügelten Angriff einen Verlust von etwa 232 stETH, wobei der Angreifer 98 Millionen USPD-Token prägte.

ChainCatcher berichtet, dass das USPD-Protokoll eine dringende Sicherheitswarnung herausgegeben hat und bestätigt, dass sein Protokoll von einer schwerwiegenden Sicherheitslücke betroffen ist, die zu einer unautorisierten Token-Prägung und zur Erschöpfung der Liquidität geführt hat.

Der Angreifer nutzte eine fortschrittliche Angriffsmethode namens „CPIMP“, indem er während des Deployments die Proxy-Initialisierung vorzeitig ausführte und so versteckte Administratorrechte erlangte. Durch die Installation einer „Schatten“-Implementierung und die Manipulation von Ereignisdaten konnte der Angreifer Verifizierungstools, einschließlich Etherscan, erfolgreich umgehen. Nach monatelanger Verschleierung prägte der Angreifer mit diesen Rechten etwa 98 Millionen USPD und stahl rund 232 stETH. Das USPD-Team arbeitet bereits mit Strafverfolgungsbehörden und Sicherheitsorganisationen zusammen, um die Adressen des Angreifers zu markieren und die Gelder einzufrieren. Gleichzeitig bietet das Team an, den Vorfall als White-Hat-Rettung zu betrachten und die Strafverfolgung einzustellen, sofern 90 % der Gelder zurückgegeben werden.