Unleash Protocol втратив 3,9 мільйона доларів США: Мультиsig-атака та шлях зниклих коштів

Нещодавно компанія з безпеки блокчейн PeckShield виявила серйозну уразливість у Unleash Protocol — децентралізованій платформі додатків, розробленій на базі інфраструктури Story Protocol. За повідомленнями, близько 3,9 мільйонів доларів користувацьких коштів були викрадені зловмисником, а потім ці кошти були перекинуті на Ethereum і далі “зняті” через анонімні інструменти.

Спосіб здійснення атаки

PeckShield повідомляє, що зловмисник цілеспрямовано атакував систему мультипідпису управління Unleash Protocol. Контролюючи ключі управління, зловмисник отримав можливість оновити смарт-контракт без затвердження основної команди. Це є серйозною помилкою у дизайні захисних механізмів протоколу.

Після оновлення контракту зловмисник почав безпосередньо знімати активи з Unleash Protocol. Загальна вартість викрадених активів склала до 3,9 мільйонів доларів.

Процес приховування слідів і виведення коштів

Однією з особливостей цієї атаки є спосіб обробки зловмисником викрадених коштів. Дані блокчейну показують, що гроші були переказані на мережу Ethereum, а потім значна кількість — зокрема 1 337,1 ETH — була відправлена у Tornado Cash, сервіс змішування коштів, відомий своєю здатністю приховувати транзакції у блокчейні.

Стратегія “зняття” зловмисника здійснювалася поетапно, від кількох ETH до 100 ETH за раз. Такий підхід був розроблений для зменшення ймовірності виявлення та відслідковування у мережі.

Постраждалі активи

У офіційній заяві Unleash Protocol було оприлюднено список токенів і активів, що були виведені з протоколу:

• WIP
• USDC
• WETH
• stIP
• vIP

Усі ці зняття відбувалися поза межами затверджених правил управління, без внутрішнього дозволу від команди.

Story Protocol залишається безпечним

Важливо зазначити, що Unleash Protocol підкреслює: атака торкнулася лише власних контрактів і систем управління протоколу. Немає доказів ураження основної інфраструктури Story Protocol, вузлів валідаторів або інших компонентів. Це обмежує масштаби шкоди і свідчить про те, що проблема стосується саме рівня додатку, а не базової інфраструктури.

Реакція та заходи щодо відновлення

Щойно було виявлено аномалію, Unleash Protocol ухвалив рішення тимчасово припинити всю діяльність протоколу для запобігання подальших збитків. Команда співпрацює з незалежними експертами з безпеки для проведення глибокого судового розслідування.

Користувачам наразі рекомендується утриматися від будь-яких взаємодій із контрактами Unleash Protocol до подальших офіційних повідомлень від команди.

Часті питання

Чому було зламано мультипідпис Unleash Protocol?
Звіт не розкриває конкретних причин, але показує, що зловмисник отримав контроль над ключами управління, можливо через помилки у конфігурації, недбалість у безпеці або невідомі вектори атак.

Чи зможуть користувачі повернути свої кошти?
Поки що невідомо. Кошти були відправлені у Tornado Cash, що ускладнює їх відстеження та відновлення. Це залежатиме від результатів судового розслідування.

Чи постраждали інші платформи?
Ні. Атака обмежилася лише Unleash Protocol. Story Protocol та інші контракти на цій платформі залишаються функціональними.

Що повинні робити користувачі Unleash?
Утриматися від взаємодії з будь-якими контрактами Unleash до офіційного оновлення. Якщо у вас є заблоковані кошти у протоколі, очікуйте повідомлення від команди щодо варіантів компенсації або відновлення.