Как произошла атака CPIMP: важные детали
Команда пояснила, что взлом возник в момент инициализации прокси 16 сентября. Хакер опередил транзакцию деплоя, установив теневую реализацию прокси, которая перенаправляла вызовы в проверенный контракт. Это делало систему визуально безопасной — её поведение совпадало с аудированной версией, что вводило в заблуждение аналитиков и сторонние сервисы.
Злоумышленник контролировал протокол в течение нескольких месяцев. За этот период он имитировал корректные операции и оставался незамеченным, что привело к несанкционированной эмиссии 98 млн USPD.
Кроме того, во время атаки было выведено примерно 232–237 stETH, что привело к мгновенному падению ликвидности и подорвало доверие пользователей. Проект заявил, что версия USPD V1 полностью остановлена.
Компания подчеркнула, что восстановление включает возмещение пользователям и полную реконструкцию протокола через USPD V2. Цель — вернуть доверие и создать более надёжную инфраструктуру.
Компенсации и токены Claim
USPD представила модель компенсации на основе токенов-claim. Каждый пострадавший пользователь получит такие токены в соотношении 1:1 согласно снимкам данных (snapshot), сделанным непосредственно перед взломом. Эти токены будут использоваться для погашения обязательств протокола.
Проект также объявил о создании отдельного пула восстановления, финансируемого исключительно доходами протокола, а не за счёт казначейства сообщества. Этот фонд будет предназначен исключительно для выплаты компенсаций и не сможет быть использован для развития.
Команда заявила, что казначейство сообщества будет финансировать разработку только после полного выполнения обязательств по компенсациям. Кроме того, будет открыт закрытый Telegram-канал исключительно для пострадавших пользователей, чтобы они получали прямые обновления и могли участвовать в обратной связи по USPD V2.
Архитектура USPD V2 и технические изменения
USPD V1 обеспечивал автоматическую доходность, увеличивающую балансы пользователей. Это улучшало пользовательский опыт, но создавало конфликты с DeFi-протоколами, которые используют фиксированные механизмы учёта.
Платформы, такие как Aave и Uniswap, полагаются на контролируемые обновления балансов. Их системы работают некорректно, если значения меняются без событий передачи (transfer events). Команда ранее разрабатывала обёрнутую версию USPD, но теперь планирует интегрировать совместимость непосредственно на уровне токена.
Ключевые улучшения USPD V2 включают:
-
интегрированные уровни доходности;
-
единый токен-модель;
-
упрощённую архитектуру;
-
решение проблем V1 (размер контрактов, циклические зависимости, сложность деплоя).
Приватность также стала частью нового дизайна. Рассматривается интеграция Railgun, чтобы включить приватность по умолчанию при сохранении прозрачности операций.
USPD также вводит новые стандарты прозрачности стабилизаторов, отметив, что залоги всегда были он-чейн и сверхобеспеченными. Ранее стабилизаторы открывали короткие позиции на централизованных биржах для хеджирования риска. Теперь проект рассматривает переход к децентрализованным perpetual-рынкам, что позволит осуществлять хеджирование он-чейн, повысит прозрачность и снизит зависимость от централизованных площадок.