Le stablecoin USPD piraté pour 1 million de dollars : le hacker est passé à l’action après 78 jours de latence

【Crypto】Le protocole de stablecoin USPD a récemment été victime d’un hack, avec une perte d’environ 1 million de dollars.

Cette attaque a été particulièrement vicieuse : l’attaquant a commencé à préparer son coup deux mois à l’avance. L’opération s’est déroulée en deux phases :

La première phase a eu lieu le 16 septembre. Le hacker a devancé l’équipe du projet lors de la transaction d’initialisation et a injecté un contrat proxy malveillant dans le stabilisateur d’USPD — cette étape est passée totalement inaperçue. Le lendemain (17 septembre), il s’est octroyé des privilèges spéciaux grâce à cette porte dérobée. Ensuite, il a patienté longuement, et, 78 jours plus tard, le 5 décembre, il est passé à l’attaque.

La perte concrète s’élève à 232 stETH volés, et l’attaquant en a profité pour frapper 98 millions de tokens USPD. Cette méthode d’attaque, basée sur la manipulation des données de stockage, révèle une faille majeure dans la gestion des droits d’accès du contrat lors de la phase d’initialisation.

Deux mois de période de latence, et l’équipe projet n’a rien vu venir. Ce cas illustre une fois de plus l’importance cruciale de l’audit de sécurité avant tout déploiement de smart contract, en particulier sur des points clés comme la logique d’initialisation et la gestion des droits. La moindre négligence peut ouvrir une porte dérobée fatale.