-
PeckShield sygnalizuje exploit o wartości 3,9 mln USD, który dotknął Unleash Protocol przez przejęcie kontroli nad multisig governance.
-
Skradzione środki zostały przeniesione na Ethereum, a 1 337,1 ETH zdeponowano w protokole mieszającym Tornado Cash.
-
Unleash Protocol wstrzymał operacje, rozpoczął analizę śledczą i potwierdził, że infrastruktura Story Protocol nie została naruszona.
Firma zajmująca się bezpieczeństwem blockchain PeckShield poinformowała o poważnym ataku hakerskim na Unleash Protocol, zdecentralizowaną platformę opartą na Story Protocol, podczas którego napastnik wypłacił około 3,9 mln USD środków użytkowników.
Oto jak doszło do ataku. Szczegóły ujawnione w raporcie PeckShield.
Jak doszło do ataku na Unleash Protocol?
Zgodnie z informacjami PeckShield, atakujący obrał za cel system zarządzania Unleash Protocol oparty na multisignature.
W ten sposób uzyskał nieautoryzowany dostęp administratora i przeprowadził aktualizację kontraktu, która nie została zatwierdzona przez główny zespół. Ta zmiana umożliwiła bezpośrednie wypłaty środków z protokołu.
Po wypłaceniu środków napastnik przesłał aktywa na Ethereum i zaczął je dzielić na mniejsze części.
Dane on-chain pokazują, że 1 337,1 ETH zostało zdeponowane w Tornado Cash, narzędziu do ochrony prywatności często wykorzystywanym do ukrywania ścieżek transakcji.
Powtarzające się wpłaty – od niewielkich kwot do partii po 100 ETH – wydają się mieć na celu ukrycie źródła skradzionych środków.
Jakie aktywa zostały dotknięte naruszeniem?
W oficjalnym powiadomieniu o incydencie Unleash Protocol potwierdził, że podczas exploita ucierpiały różne aktywa. Należą do nich WIP, USDC, WETH, stIP i vIP. Zespół podkreślił, że wypłaty miały miejsce poza standardowymi zasadami governance i nie zostały zatwierdzone wewnętrznie.
Co ważne, Unleash wyjaśnił, że nie ma dowodów na naruszenie Story Protocol, jej walidatorów ani podstawowej infrastruktury. Problem ogranicza się wyłącznie do kontraktów i kontroli administracyjnych Unleash.
Natychmiastowa reakcja Unleash Protocol
Po wykryciu incydentu Unleash Protocol natychmiast wstrzymał wszystkie operacje, aby zapobiec dalszym szkodom. Zespół współpracuje obecnie z niezależnymi ekspertami ds. bezpieczeństwa i śledczymi, aby ustalić pierwotną przyczynę.
Użytkownikom zalecono powstrzymanie się od interakcji z kontraktami Unleash Protocol do czasu pojawienia się kolejnych oficjalnych komunikatów.
Nie przegap żadnej nowości ze świata krypto!
Bądź na bieżąco z najnowszymi wiadomościami, analizami ekspertów i aktualizacjami w czasie rzeczywistym dotyczącymi trendów w Bitcoin, altcoinach, DeFi, NFT i nie tylko.
Najczęściej zadawane pytania
Do ataku doszło po tym, jak napastnik uzyskał nieautoryzowaną kontrolę administracyjną przez system multisig i przeprowadził niezatwierdzoną aktualizację kontraktu.
Około 3,9 mln USD środków użytkowników zostało wypłaconych, w tym ETH i wiele aktywów tokenizowanych przechowywanych w kontraktach Unleash Protocol.
Naruszenie dotknęło WIP, USDC, WETH, stIP i vIP, wszystkie wypłacone poza zatwierdzonym governance i bez wewnętrznej autoryzacji.
Użytkownicy powinni unikać interakcji z kontraktami Unleash do czasu oficjalnych aktualizacji, ponieważ zespół kontynuuje analizy śledcze i przegląd bezpieczeństwa.
