Unleash Protocol Kehilangan 3,9 Juta USD: Serangan Multisig dan Perjalanan Uang yang Hilang

Dalam waktu dekat, perusahaan keamanan blockchain PeckShield telah menemukan sebuah insiden keamanan serius di Unleash Protocol - sebuah platform aplikasi terdesentralisasi yang dikembangkan di atas infrastruktur Story Protocol. Menurut laporan, sekitar 3,9 juta dolar uang pengguna telah dicuri oleh penyerang, dan kemudian dana disiphon ke Ethereum sebelum melanjutkan “pembongkaran” melalui alat anonim.

Cara Serangan Dilakukan

PeckShield mengungkapkan bahwa penyerang langsung menargetkan sistem multisig governance dari Unleash Protocol. Dengan mengendalikan kunci pengelolaan, pelaku menyusup mampu melakukan upgrade kontrak pintar tanpa persetujuan dari tim inti. Ini adalah sebuah kesalahan desain yang serius dalam mekanisme perlindungan protokol.

Setelah melakukan upgrade kontrak, penyerang langsung menarik aset dari Unleash Protocol. Total nilai aset yang diambil mencapai 3,9 juta dolar.

Proses Penyembunyian Jejak dan “Pembongkaran” Dana

Sebuah detail penting dalam insiden ini adalah bagaimana penyerang menangani dana yang dicuri. Data blockchain menunjukkan bahwa dana tersebut dipindahkan ke jaringan Ethereum, dan kemudian sejumlah besar - tepatnya 1.337,1 ETH - dikirim ke Tornado Cash, sebuah layanan mixing uang yang dikenal karena kemampuannya menyembunyikan transaksi blockchain.

Strategi “pembongkaran” dari penyerang dilakukan secara bertahap, mulai dari pengiriman beberapa ETH hingga pengiriman 100 ETH. Pendekatan bertahap ini dirancang untuk mengurangi kemungkinan terdeteksi dan dilacak di rantai.

Aset yang Terdampak

Dalam pernyataan resmi terkait insiden ini, Unleash Protocol secara terbuka mengumumkan daftar token dan aset yang ditarik dari protokol:

• WIP
• USDC
• WETH
• stIP
• vIP

Semua penarikan ini dilakukan di luar aturan pengelolaan yang telah disetujui sebelumnya, tanpa izin internal dari tim.

Story Protocol Masih Aman

Satu poin penting yang ditekankan oleh Unleash Protocol adalah bahwa serangan ini hanya mempengaruhi kontrak khusus dari Unleash dan sistem pengelolaannya sendiri. Tidak ada bukti yang menunjukkan bahwa infrastruktur inti dari Story Protocol, node verifikasi, atau komponen lain mengalami kerusakan. Ini membatasi ruang lingkup kerusakan dan menunjukkan bahwa masalahnya berada di lapisan aplikasi, bukan di tingkat infrastruktur.

Respon dan Langkah Pemulihan

Segera setelah menemukan kejanggalan, Unleash Protocol memutuskan untuk menghentikan seluruh operasi protokol guna mencegah kerugian lebih lanjut. Tim saat ini bekerja sama dengan para ahli keamanan independen untuk melakukan investigasi forensik secara mendalam.

Pengguna saat ini diminta untuk menghindari semua interaksi dengan kontrak Unleash Protocol sampai ada pengumuman resmi berikutnya dari tim.

Pertanyaan Umum

Mengapa multisig dari Unleash Protocol disusupi?
Laporan belum mengungkapkan penyebab spesifik, tetapi menunjukkan bahwa penyerang telah mengendalikan kunci pengelolaan, mungkin melalui kesalahan konfigurasi, kelalaian keamanan, atau vektor serangan yang belum diketahui.

Apakah pengguna bisa mendapatkan kembali uangnya?
Saat ini belum jelas. Dana telah dikirim ke Tornado Cash, yang memperumit pelacakan dan pemulihan. Hal ini akan bergantung pada hasil investigasi forensik.

Apakah platform lain juga terdampak?
Tidak. Serangan ini terbatas pada Unleash Protocol. Story Protocol dan kontrak lain di platform ini tetap berfungsi normal.

Apa yang harus dilakukan pengguna Unleash?
Hentikan semua interaksi dengan kontrak apa pun dari Unleash sampai ada pembaruan resmi. Jika Anda memiliki dana yang terkunci dalam protokol, tunggu pengumuman dari tim mengenai opsi kompensasi atau pemulihan.