Unleash Protocol potwierdził poważne naruszenie bezpieczeństwa spowodowane nieautoryzowanymi działaniami na jego smart kontraktach, w wyniku których środki użytkowników zostały wypłacone i przetransferowane. Incydent ten został zidentyfikowany wcześniej dzisiaj i już doprowadził do automatycznego zawieszenia wszystkich operacji Unleash Protocol, podczas gdy zespół próbuje opanować problem i ustalić jego przyczynę.
W jednym z oficjalnych powiadomień o incydencie wydanych przez zespół Unleash, atak rozpoczął się poprzez ingerencję w strukturę zarządzania i uprawnień protokołu. Wstępne ustalenia wskazują, że zewnętrzny adres również uzyskał kontrolę administracyjną poprzez multisigową strukturę zarządzania Unleash. Dzięki temu dostępowi, atakujący przeprowadził nieautoryzowaną aktualizację kontraktu, która umożliwiła wypłaty wykraczające poza procesy zarządzania i operacyjne projektu.
Nieautoryzowana aktualizacja kontraktu umożliwiła wypłaty aktywów
Hakowana aktualizacja miała umożliwić wyodrębnienie różnych zasobów przechowywanych w smart kontraktach Unleash Protocol. Aktywa, które na tym etapie dochodzenia uznaje się za dotknięte, to WIP, USDC, WETH oraz tokeny związane ze stakingiem, czyli stIP i vIP. Wypłaty zostały przetransferowane przez infrastrukturę podmiotów trzecich, po czym aktywa przeniesiono na zewnętrzne adresy, co utrudnia ich natychmiastowe odzyskanie.
Unleash podkreślił również, że takie działania nie były zatwierdzone przez zespół główny, lecz miały miejsce w ramach kontroli zarządzania, całkowicie niezamierzenie. Według kierownictwa protokołu, incydent można określić jako krytyczną porażkę mechanizmów ochrony administracyjnej, lecz nie jako szeroko zakrojony atak na infrastrukturę.
Zakres wpływu wydaje się ograniczony
W swojej pierwszej ocenie zespół Unleash Protocol napisał, że nie znaleziono dowodów na naruszenie kontraktów Story Protocol, walidatorów ani podstawowej infrastruktury w tym momencie. Wpływ wydaje się ograniczony do kontraktów i ograniczeń administracyjnych specyficznych dla Unleash, co wskazuje, że problem nie rozszerzył się na szerszy ekosystem.
Zespół jednak ostrzegł, że dochodzenie wciąż trwa i zanim zostaną ujawnione jakiekolwiek wnioski, wszystkie ustalenia zostaną potwierdzone. Dane zdarzenia on-chain są zachowywane w celu ułatwienia śledztwa kryminalistycznego, które będzie wykorzystane w późniejszych raportach.
Reakcja awaryjna i trwające dochodzenie
Unleash Protocol wstrzymał wszystkie operacje jako środek zaradczy, aby zapewnić, że narażenie użytkowników oraz innych aktywów nie zostanie dalej zwiększone. Zespół obecnie współpracuje ściśle z niezależnymi ekspertami ds. bezpieczeństwa i śledczymi kryminalistycznymi, aby ustalić, jak uzyskano kontrolę administracyjną oraz czy istnieją inne luki.
Aktywność sygnatariuszy multisig, kluczowe praktyki zarządzania oraz procesy governance są w pełni weryfikowane. Unleash Protocol potwierdził również, że jest zsynchronizowany z partnerami ekosystemu oraz dostawcami infrastruktury, zwłaszcza w zakresie bridge’owania i routingu transakcji, aby śledzić przepływ środków i zidentyfikować potencjalne środki zaradcze.
Wskazówki dla użytkowników i środki bezpieczeństwa
Unleash zachęcił użytkowników do unikania interakcji z jakimikolwiek kontraktami Unleash Protocol do odwołania. Zespół podkreślił również, aby korzystać wyłącznie z oficjalnych kanałów komunikacji w celu uzyskania najnowszych informacji i nie dać się zwieść dezinformacji lub podszywaniu się, które często następują po głośnych incydentach.
Dalsze wytyczne dla poszkodowanych użytkowników zostaną udostępnione po potwierdzeniu wyników dochodzenia i wskazaniu odpowiednich rozwiązań. Unleash nie ogłosił jeszcze konkretnych programów naprawczych ani rekompensat, ponieważ jest to nadal rozważane.
Zobowiązanie do przejrzystości i odpowiedzialności
Zespół Unleash Protocol wydał oświadczenie, w którym przyznał, że incydent dotknął użytkowników i partnerów, oraz że sytuacja jest traktowana z najwyższą powagą. Pracownicy ponownie potwierdzili chęć utrzymania otwartego kanału komunikacji i odpowiedzialnego ujawniania informacji, gdy tylko będą dostępne kolejne szczegóły.
Chociaż incydent podkreśla ciągłe podatności w zakresie zarządzania i kontroli administracyjnej zdecentralizowanego protokołu, Unleash przedstawia swoją reakcję jako kluczowy krok w umacnianiu zaufania i bezpieczeństwa. Kolejne informacje zostaną przekazane w miarę postępów dochodzenia.
