Hacker desvia US$ 1 milhão do protocolo de stablecoin do USPD

O protocolo de finanças descentralizadas US Permissionless Dollar sofreu uma violação de segurança que resultou na emissão não autorizada de sua stablecoin e na perda de mais de US$ 1 milhão em liquidez. 

De acordo com um relatório dedent da conta oficial da equipe USPD no X, o atacante depositou aproximadamente 3.122 ETH como garantia e explorou uma falha que lhe permitiu cunhar cerca de 98 milhões de tokens USPD em uma única transação. 

O processo gerou dez vezes mais tokens do que o depósito inicial e permitiu ao hacker drenar mais 237 stETH como garantia. As stablecoins roubadas foram posteriormente convertidas em cerca de US$ 300.000 em USDC por meio da exchange descentralizada Curve.

Os desenvolvedores do protocolo USPD e diversas contas de segurança cibernética, como a PeckShield Alert, emitiram um alerta aos usuários imediatamente após identificarem dent violação, dizendo :

“Confirmamos uma vulnerabilidade crítica no protocolo USPD que resultou em emissão não autorizada de tokens e drenagem de liquidez. Por favor, NÃO comprem USPD. Revoguem todas as aprovações imediatamente.”

Um hacker do Departamento de Polícia dos EUA aproveitou-se de proxies para enganar o protocolo e obter uma moeda virtual. 

O DeFi mencionou que a violação explorou um vetor de ataque complexo chamado “CPIMP”, abreviação de Clandestine Proxy In the Middle of Proxy (Proxy Clandestino no Meio do Proxy). A USPD explicou que o invasor interceptou a inicialização do proxy em 16 de setembro, durante a implantação, usando uma transação Multicall3

2/ Isso não foi uma falha na lógica do nossotracinteligente.

O protocolo USPD passou por rigorosas auditorias de segurança realizadas por empresas de ponta como @NethermindEth e Resonance. Nosso código é totalmente testado unitariamente e segue rigorosos padrões da indústria. A lógica em si permanece segura.

— USPD.IO | O Dólar da Nação Descentralizada (@USPD_io) 4 de dezembro de 2025

O hacker usou o CPIMP para obter direitos administrativos silenciosamente antes que os scripts do protocolo fossem totalmente executados, aguardando meses para começar a cunhar moedas sem autorização. Ele implementou umtrac"sombra" que encaminhava chamadas para o código auditado do USPD e, em seguida, implementou sutilmente uma manipulação de payload de eventos e falsificação de slots de armazenamento para enganar o Etherscan e fazê-lo exibir otracauditado original. 

“Essa camuflagem permitiu que o invasor se escondesse à vista de todos por meses, burlando ferramentas de verificação e checagens manuais. Hoje, ele usou seu acesso oculto para atualizar o proxy, gerar cerca de 98 milhões de USPD e drenar cerca de 232 stETH”, escreveu a USPD.

O analista de blockchain Emmet Gallic reiterou a análise do protocolo DeFi , acrescentando que uma inicialização de proxy causou o ataque durante a implantação. 

“O invasor reivindicou direitos de administrador e instalou uma implementação paralela que falsificava o Etherscan para exibir otracauditado. O protocolo ficou invadido por meses”, concluiu ele.

O Departamento de Polícia dos EUA (USPD) dará continuidade às investigações e promete recompensa ao hacker.

Em resposta ao ataque, o Departamento de Polícia dos EUA (USPD) declarou que está trabalhando em estreita colaboração com as autoridades policiais e grupos de segurança cibernética para trace congelar os fundos roubados. "Sinalizamos os endereços do atacante em todas as principais corretoras centralizadas (CEX) e corretoras descentralizadas (DEX) para bloquear o fluxo de fundos", revelou a equipe.

O protocolo também afirmou estar disposto a resolver a situação com o atacante caso os fundos sejam devolvidos, descontada uma recompensa padrão de 10% pela descoberta da vulnerabilidade. O protocolo prometeu cessar todas as ações policiais caso a oferta fosse aceita e incentivou o atacante a contatá-lo diretamente ou devolver 90% dos ativos roubados para que o assunto fosse resolvido.

“Estamos devastados por, apesar de auditorias rigorosas e da adesão às melhores práticas, termos sido vítimas desse vetor de ataque emergente e altamente complexo. Estamos fazendo todo o possível para recuperar os ativos”, declarou o Departamento de Polícia dos EUA (USPD) à comunidade.

Segundo o CoinMarketCap, a paridade da stablecoin com o dólar americano não foi afetada até o momento, mas seu volume caiu 20% nas últimas 24 horas, para cerca de US$ 2,56 milhões.

As violações de segurança em protocolos de stablecoins DeFi já foram muito maiores do que a que o USPD enfrentou, incluindo um ataque à Euler Finance em 2023 que resultou em perdas de mais de US$ 197 milhões após o esgotamento das stablecoins de seus fundos de empréstimo. 

Dois protocolos DeFi em modo de recuperação após explorações de novembro

Na última segunda-feira, o Yearn Finance tornou-se o protocolo mais recente a sofrer um ataque exploratório em seu token de índice de staking líquido, o yETH. O criminoso cunhou um número praticamente ilimitado de tokens e roubou cerca de US$ 3 milhões em ETH. 

A Yearn Finance sofreu um ataque hacker de US$ 9 milhões em seu pool de stablecoins yETH em 30 de novembro, mas, como relatado na quarta-feira, já começou a recuperar os fundos roubados. Até o momento, a equipe recuperou com sucesso US$ 2,39 milhões, que serão devolvidos aos depositantes afetados.

A Balancer, outro protocolo DeFi que perdeu US$ 128 milhões devido a uma violação de segurança na versão 2, anunciou na semana passada planos para reembolsar aproximadamente US$ 8 milhões aos provedores de liquidez.

Ganhe até US$ 30.050 em recompensas comerciais ao se inscrever na Bybit hoje