Unleash Protocolは3.9百万ドルを失う：マルチシグ攻撃と資金流出の軌跡

最近、ブロックチェーンセキュリティ企業のPeckShieldは、Story Protocolを基盤とした分散型アプリケーションプラットフォームであるUnleash Protocolに深刻なセキュリティインシデントを発見しました。報告によると、約3.9百万ドルのユーザー資金が攻撃者に盗まれ、その後資金はEthereumに送金され、匿名ツールを通じて「脱衣」される前に吸い上げられました。

攻撃の手口

PeckShieldは、攻撃者がUnleash Protocolのマルチシグ管理システムを直接狙ったことを明らかにしました。管理鍵を掌握することで、攻撃者はコアチームの承認を得ることなくスマートコントラクトのアップグレードを実行できる状態になったのです。これは、プロトコルの保護メカニズムにおける重大な設計ミスです。

コントラクトのアップグレード後、攻撃者は直接Unleash Protocolから資産を引き出しました。盗まれた資産の総額は3.9百万ドルに達します。

証拠隠滅と資金の脱出

この攻撃の注目すべき点は、攻撃者が盗んだ資金の処理方法です。ブロックチェーンのデータによると、資金はEthereumネットワークに送金され、その後、1,337.1 ETHという大量の資金がTornado Cashに送られました。Tornado Cashは、ブロックチェーン取引の匿名性を高めるためのミキシングサービスとして知られています。

攻撃者の「脱衣」戦略は、小規模な送金から始まり、数ETHの送金や100ETHの送金まで段階的に行われました。この段階的なアプローチは、追跡や検出を困難にし、チェーン上での発見を遅らせることを目的としています。

影響を受けた資産

公式声明によると、Unleash Protocolは、盗まれたトークンと資産のリストを公開しました。

• WIP
• USDC
• WETH
• stIP
• vIP

これらの資金の引き出しは、事前に承認されたガバナンスルールを超えて行われており、チームの内部承認は一切ありません。

Story Protocolは安全なまま

Unleash Protocolは、重要なポイントとして、今回の攻撃はUnleashの個別コントラクトとそのガバナンスシステムにのみ影響したと強調しています。Story Protocolのコアインフラ、検証ノード、その他のコンポーネントに損傷は確認されていません。これにより、被害の範囲は限定的であり、問題はアプリケーション層にあることが示されています。

対応と復旧策

異常を検知した直後、Unleash Protocolはさらなる被害を防ぐために、全ての運用を一時停止しました。現在、独立したセキュリティ専門家と協力して詳細なフォレンジック調査を進めています。

ユーザーには、公式な通知があるまで、Unleash Protocolのコントラクトとのすべてのインタラクションを控えるよう求められています。

よくある質問

なぜUnleash Protocolのマルチシグが侵害されたのですか？
報告では具体的な原因は明らかにされていませんが、攻撃者は管理鍵を制御できる状態にあったと示唆されています。これは設定ミス、セキュリティの不注意、または未知の攻撃ベクターによる可能性があります。

ユーザーは資金を取り戻せますか？
現時点では不明です。資金はTornado Cashに送金されており、追跡と回収が難しくなっています。調査結果次第で対応が変わる可能性があります。

他のプラットフォームも影響を受けていますか？
いいえ。この攻撃はUnleash Protocolに限定されています。Story Protocolや他のコントラクトは正常に動作しています。

Unleashのユーザーは何をすべきですか？
公式なアップデートがあるまで、Unleashのコントラクトとのインタラクションを控えてください。資金がロックされている場合は、チームからの通知を待ち、補償や復旧の選択肢について指示を待つことが推奨されます。