Eine weitere Stablecoin wird zerstört und niemand hat es kommen sehen 🥶 $USPD wurde durch einen Front-Run-Proxy-Init-Exploit erwischt. Der Angreifer hat während der Bereitstellung den Admin geschnappt, blieb still und wartete einfach auf den perfekten Moment. - Am 4. Dezember haben sie schließlich den roten Knopf gedrückt. - 98M+ $USPD aus dem Nichts geprägt. - 232 $stETH abgezogen. - Preis von $1 auf $0,06 verdampft 🤯 das Wilde daran war eine Schattenimplementierung, die Aufrufe weiterleitete und dann die Logik prüfte, während sie Ereignisse fälschte. Beide Audits, #Nethermind & #Resonance, haben es verpasst, da der Fehler nicht im Code war, sondern im Bereitstellungsfluss aktiv war. Das zeigt, dass die #DeFi permissionless Macht auch die größte Bedrohung ist. Angreifer brechen jetzt nicht das System, sondern werden Teil des Systems. Wir müssen in der Web3-Sicherheit viel besser werden.