Un'altra stablecoin è stata colpita e nessuno se l'aspettava 🥶 $USPD è stata colpita da un exploit di front-run proxy-init. L'attaccante ha preso il controllo dell'amministratore durante il deployment, è rimasto in silenzio e ha semplicemente atteso il momento perfetto. - Il 4 dicembre hanno finalmente premuto il pulsante rosso. - 98M+ $USPD coniati dal nulla. - 232 $stETH drenati. - il prezzo è svanito da $1 a $0.06 🤯 La parte sorprendente è stata un'implementazione ombra che inoltrava le chiamate e poi auditava la logica mentre falsificava gli eventi. Entrambi gli audit, #Nethermind e #Resonance, l'hanno mancato poiché il bug non era nel codice sorgente ma era attivo nel flusso di deployment. Questo dimostra che il potere permissionless del #DeFi è anche la sua più grande minaccia. Gli attaccanti ora non stanno rompendo il sistema ma diventando parte del sistema. Dobbiamo migliorare molto di più nella sicurezza del web3.