Unleash Protocol потерял 3,9 миллиона долларов США: Мультиподписанная атака и путь утечки средств

В последнее время компания по обеспечению безопасности блокчейн PeckShield обнаружила серьезную уязвимость в Unleash Protocol — платформе децентрализованных приложений, разработанной на инфраструктуре Story Protocol. Согласно отчету, злоумышленник украл около 3,9 миллиона долларов пользовательских средств, после чего эти средства были переведены на Ethereum и затем «сняты» с помощью анонимных инструментов.

Способ осуществления атаки

PeckShield сообщил, что злоумышленник нацелился непосредственно на мультиподписанный управляющий механизм Unleash Protocol. Получив контроль над ключами управления, злоумышленник смог внедрить обновление смарт-контракта без одобрения основной команды. Это является серьезной ошибкой в дизайне защитных механизмов протокола.

После обновления контракта злоумышленник начал выводить активы напрямую из Unleash Protocol. Общая стоимость украденных активов достигла 3,9 миллиона долларов.

Процесс сокрытия следов и «снятия» средств

Одним из заметных аспектов этой атаки является способ обработки украденных средств злоумышленником. Данные блокчейна показывают, что деньги были переведены в сеть Ethereum, а затем значительный объем — конкретно 1.337,1 ETH — был отправлен в Tornado Cash, сервис микширования средств, известный своей способностью скрывать транзакции в блокчейне.

Стратегия «снятия» средств осуществлялась поэтапно, начиная с небольших переводов в несколько ETH и заканчивая отправками по 100 ETH. Такой пошаговый подход был разработан для снижения вероятности обнаружения и отслеживания в цепочке.

Пострадавшие активы

В официальном заявлении о происшествии Unleash Protocol опубликовал список токенов и активов, выведенных из протокола:

• WIP
• USDC
• WETH
• stIP
• vIP

Все эти выводы были произведены вне рамок ранее одобренных правил управления, без внутреннего разрешения команды.

Безопасность Story Protocol остается в силе

Важный момент, подчеркнутый Unleash Protocol, — атака затронула только собственные контракты и систему управления самого Unleash. Нет никаких доказательств того, что основная инфраструктура Story Protocol, узлы верификации или другие компоненты были повреждены. Это ограничивает масштаб ущерба и указывает на то, что проблема находится на уровне приложения, а не инфраструктуры.

Реакция и меры по устранению

Как только было обнаружено нарушение, Unleash Protocol принял решение временно приостановить всю работу протокола, чтобы предотвратить дальнейшие потери. Команда сейчас сотрудничает с независимыми экспертами по безопасности для проведения глубокого судебно-медицинского расследования.

Пользователям рекомендуется воздерживаться от взаимодействия с любыми контрактами Unleash до получения официальных уведомлений от команды.

Часто задаваемые вопросы

Почему был скомпрометирован мультиподписанный механизм Unleash Protocol?
Отчет не раскрывает конкретных причин, но указывает, что злоумышленник получил контроль над ключами управления, что могло произойти из-за ошибки конфигурации, просчета в безопасности или неизвестных векторов атаки.

Могут ли пользователи вернуть свои средства?
На данный момент это неясно. Средства были отправлены в Tornado Cash, что усложняет отслеживание и восстановление. Всё будет зависеть от результатов судебно-медицинского расследования.

Затронуты ли другие платформы?
Нет. Атака ограничилась только Unleash Protocol. Story Protocol и другие контракты на этой платформе работают в обычном режиме.

Что должны делать пользователи Unleash?
Прекратить взаимодействие с любыми контрактами Unleash до получения официальных обновлений. Если у вас есть средства, заблокированные в протоколе, дождитесь уведомлений от команды о возможных вариантах компенсации или восстановления.