-
PeckShield повідомила про експлойт на $3,9 млн, який вразив Unleash Protocol через скомпрометований мультипідписний механізм управління.
-
Викрадені кошти були переміщені на Ethereum, де 1 337,1 ETH було внесено у міксер-протокол Tornado Cash.
-
Unleash Protocol призупинив операції, запустив судове розслідування і підтвердив, що інфраструктура Story Protocol повністю не постраждала.
Блокчейн-сек'юріті компанія PeckShield повідомила про масштабний злам Unleash Protocol, децентралізованої платформи на основі Story Protocol, у результаті якого зловмисник вивів близько $3,9 млн коштів користувачів.
Ось як стався злам. Звіт PeckShield розкрив деталі.
Як стався злам Unleash Protocol?
За даними PeckShield, зловмисник націлився на мультипідписний механізм управління Unleash Protocol.
Завдяки цьому зловмисник отримав несанкціонований адміністративний доступ та впровадив оновлення смарт-контракту, яке не було схвалено основною командою. Ця зміна відкрила можливість прямого виведення коштів із протоколу.
Після виведення коштів, зловмисник перемістив активи на Ethereum і почав ділити їх на дрібніші частини.
Дані з блокчейну показують, що 1 337,1 ETH було внесено у Tornado Cash — інструмент приватності, який часто використовують для приховування слідів транзакцій.
Багаторазові депозити, від невеликих сум до партій по 100 ETH, очевидно, були спрямовані на ускладнення відстеження джерела викрадених коштів.
Які активи постраждали внаслідок злому
У своєму офіційному повідомленні про інцидент Unleash Protocol підтвердив, що під час експлойту постраждало кілька активів. Серед них WIP, USDC, WETH, stIP і vIP. Команда підкреслила, що виведення коштів здійснювалось поза межами стандартних правил управління та не було схвалене всередині команди.
Важливо, що Unleash уточнив — немає жодних доказів компрометації Story Protocol, її валідаторів або основної інфраструктури. Проблема обмежується лише специфічними контрактами та адміністративним контролем Unleash.
Негайна реакція Unleash Protocol
Після виявлення інциденту Unleash Protocol одразу призупинив усі операції для запобігання подальшій шкоді. Команда наразі співпрацює з незалежними експертами з безпеки та судовими фахівцями для виявлення першопричини.
Користувачам порадили утримуватися від взаємодії з контрактами Unleash Protocol до подальших офіційних оновлень.
Завжди залишайтесь у курсі подій у криптосвіті!
Будьте на крок попереду з екстреними новинами, експертною аналітикою та оновленнями в реальному часі про найсвіжіші тренди у Bitcoin, альткоїнах, DeFi, NFT та іншому.
Поширені запитання
Злам стався після того, як зловмисник отримав несанкціонований адміністративний доступ через мультипідписну систему та впровадив несанкціоноване оновлення контракту.
Було виведено близько $3,9 млн користувацьких коштів, включаючи ETH та кілька токенізованих активів, що зберігались у контрактах Unleash Protocol.
Проблема торкнулася WIP, USDC, WETH, stIP та vIP, які були виведені поза межами схваленого управління та без внутрішнього дозволу.
Користувачам слід утриматися від взаємодії з контрактами Unleash до виходу офіційних оновлень, поки команда проводить судову та безпекову перевірку.
