Протокол стейблкоїнів USPD щойно зазнав добре спланованої атаки, і масштаб втрат невеликий — хакер випустив додатково 98 мільйонів USPD з повітря, а також забрав 232 stETH.

Атака була рідкісною: хакери отримали адміністративні права під час першого розгортання проєкту, потім замаскували шкідливий код під звичайну версію і місяцями спостерігали. Минулої ночі я раптово почав використовувати дозволи для прямого керування контрактом, і весь процес пройшов досить гладко.

Чесно кажучи, вплив цієї справи — це не лише проблема самої поліції США. По-перше, це виявляє реальність, з якою багато людей не готові стикатися — якщо дозволи витікають на початковому етапі розгортання, скільки б аудиту не проводилося пізніше, це марно. По-друге, хоча USPD не є великою, проблеми безпеки у протоколах стейблкоїнів завжди зменшують довіру ринку до всієї екосистеми DeFi.

Команда проєкту відреагувала досить швидко, одразу зв'язалася з біржею для заморозки активів, а також намагалася домовитися з хакером, але гроші були переказані, і було дуже важко сказати, скільки можна повернути в майбутньому.

Це нагадування звичайним користувачам:

Не поспішайте з новими проєктами. Ті протоколи, які щойно були запущені і давно не тестувалися ринком, мають ризики, що значно перевищують рівень коду, а також процес розгортання, надійність команди та управління дозволами.

Аудиторський звіт — це не золота медаль за уникнення смерті. Багато людей почуваються в безпеці, коли бачать «перевірений», але аудити можуть охоплювати лише певний діапазон логіки коду, а такі дозволи крадуться у джерела, і аудит взагалі не може це з'ясувати.

Контроль над позиціями — це останнє слово. Беручи участь у будь-якому DeFi-проєкті, інвестовані гроші мають бути тією частиною вашого життя, яку ви втрачаєте, і не впливати на ваше життя. Робити великі ставки на невеликі проєкти — це ставка на удачу.

Відкритість DeFi — це перевага, але проблеми з безпекою залишаються. Захист ваших активів важливіший, ніж прагнення до прибутку.