USPDがハッキング攻撃を受ける
分散型ステーブルコインプロトコル「USPD」が不正アクセスの被害を受け、約232stETH(約72万ドル相当)におよぶ資金が流出したと、同プロトコルの公式Xより12月5日に発表された。投稿によると、攻撃者がプロキシコントラクトの管理権限を不正に取得し、約9,800万USPDの無断発行および流動性の引き出しを行ったという。またゴープラスセキュリティ(GoPlus Security)の報告によると30万USDCも流出しているとのことで、被害は総額100万ドル規模となるようだ。
なお今回攻撃を受けたUSPDは、パクソス(Paxos)が提供する米ドル建てステーブルコイン「USDP(Pax Dollar)」とは無関係の別プロジェクトである。名称が類似しているため、混同に注意が必要だ。
USPDの説明によれば、攻撃の原因は「プロトコルが公開される瞬間(デプロイ時)」に起きた。USPDはプロキシという仕組みを使ってシステムを構築していたが、攻撃者はデプロイの直後に割り込み、プロキシの管理者権限を横取りしたという。この段階では通常は外部から介入できないが、攻撃者は処理順の隙を突き、初期設定より先に取引を実行した。
管理権限を奪った攻撃者は、自分が用意した改ざん可能な別バージョンのコントラクトを組み込み、実際のコードを監査した開発者や利用者には見えないように偽装した。ブロックエクスプローラー上では正規の実装が稼働しているように見えるよう細工されていたため、問題は数ヶ月にわたり発覚しなかったという。
なお時系列としては、9月16日のデプロイ過程で管理権限が奪取され、その後約80日間にわたりバックドアが維持されていた。そして12月4日〜5日にかけて攻撃者が不正ミントと資金の引き出しを実行した形となる。
USPDは、監査済みのコントラクトロジック自体に問題はなかったと強調している。ブロックチェーン監査企業のネザーマインド(Nethermind)やレゾナンス(Resonance)による監査も正常に行われていたという。今回の侵害は、スマートコントラクトのコードそのものではなく、公開直後のセットアップ手順の盲点を突く攻撃だったと説明されている。
USPDは利用者に対し、USPDトークンを購入しないこと、またプロトコルに与えているコントラクト承認を取り消すよう強く呼びかけている。同プロジェクトは現在、法執行機関、セキュリティ研究者、主要取引所と連携し資金追跡を進めているという。また攻撃者に対し、資産の90%を返還すれば「ホワイトハット」として扱うバグバウンティ形式の返還提案を提示したことも明らかにした。
なお12月は、複数の暗号資産(仮想通貨)関連プロジェクトで大規模なハッキング被害が相次いでいる。韓国の大手取引所アップビット(Upbit)では約3,000万ドルの流出が確認され、ヤーンファイナンス(Yearn Finance)のレガシーコントラクトでは無制限ミント問題により約900万ドル相当が流出したと報告されている。
The @USPD_io stablecoin protocol on Ethereum was exploited via a proxy initialization frontrunning attack.🧵
— GoPlus Security 🚦 (@GoPlusSecurity) December 5, 2025
The attacker waited 80 days before triggering the exploit, stealing 232 $stETH + 300k $USDC (~$1M total). https://t.co/z2KeUdikPE pic.twitter.com/llD958ooNi
🚨 URGENT SECURITY ALERT: USPD PROTOCOL EXPLOIT 🚨
— USPD.IO | The Dollar of the Decentralized Nation (@USPD_io) December 4, 2025
1/ We have confirmed a critical exploit of the USPD protocol resulting in unauthorized minting and liquidity draining.
Please DO NOT buy USPD. Revoke all approvals immediately.
The @USPD_io stablecoin protocol on Ethereum was exploited via a proxy initialization frontrunning attack.🧵
— GoPlus Security 🚦 (@GoPlusSecurity) December 5, 2025
The attacker waited 80 days before triggering the exploit, stealing 232 $stETH + 300k $USDC (~$1M total). https://t.co/z2KeUdikPE pic.twitter.com/llD958ooNi
画像:Reuters