Unleash Protocol ได้เปิดเผยกิจกรรมที่ไม่ได้รับอนุญาตเกี่ยวกับสมาร์ทคอนแทรกต์ของตน ซึ่งนำไปสู่การถอนและโอนเงินของผู้ใช้ การสืบสวนจาก CertiK Alert เปิดเผยว่ามีการฝาก Ethereum เข้าสู่ Tornado Cash หลังจากการโจมตีของ Unleash Protocol
Unleash Protocol สืบสวนการโจมตีแบบ multisig
CertiK Alert เปิดเผยบน X ว่าตรวจพบการฝาก ETH จำนวน 1,337.1 ETH มูลค่าประมาณ 3.9 ล้านดอลลาร์ ถูกโอนไปยัง Tornado Cash แพลตฟอร์มเชื่อมโยงการโอนนี้จากที่อยู่กระเป๋าเงิน 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3
CertiK Alert เพิ่มว่า เงินทุนเหล่านี้ย้อนกลับไปยังการถอนที่น่าสงสัยของ Wrapped ETH และโทเค็น Story จาก multisig ที่อาจถูกโจมตี
รายงานนี้ออกมาไม่นานหลังจากที่ Unleash Protocol ประกาศว่ากำลังสืบสวนการโจมตีที่ทำให้ผู้ใช้สูญเสียเงินทุน
ทีมงานของ Unleash Protocol กล่าวว่า การสืบสวนเบื้องต้นชี้ให้เห็นว่าที่อยู่ที่เป็นเจ้าของภายนอกได้รับสิทธิ์การควบคุมทางบริหารผ่านการบริหาร multisig
หลังจากการโจมตี ผู้โจมตีได้ดำเนินการอัปเกรดสัญญาโดยไม่ได้รับอนุญาต ซึ่งทำให้สามารถถอนทรัพย์สินโดยไม่ได้รับอนุญาตได้ ซึ่งเกิดขึ้นนอกเหนือจากกระบวนการบริหารและการดำเนินงานที่ตั้งใจไว้ของ Unleash
ทรัพย์สินที่ได้รับผลกระทบประกอบด้วย WIP, USDC, WETH, stIP และ vIP หลังจากการถอนเงิน ผู้โจมตีได้ทำการสะพานเชื่อมทรัพย์สินเหล่านี้โดยใช้โครงสร้างพื้นฐานของบุคคลที่สามก่อนส่งไปยังที่อยู่ภายนอก
วิธีการจัดการกับการโจมตีของ Unleash
ในประกาศของตน ทีมงานของ Unleash Protocol กล่าวว่า ไม่มีหลักฐานว่ามีการละเมิดสัญญา Story Protocol, ตัวตรวจสอบความถูกต้อง หรือโครงสร้างพื้นฐานพื้นฐาน พวกเขายังเสริมว่าผลกระทบดูเหมือนจะจำกัดอยู่เฉพาะสัญญาและการควบคุมบริหารของ Unleash เท่านั้น
อย่างไรก็ตาม ทีมงานรับรองว่าการสืบสวนยังดำเนินอยู่ และจะยืนยันข้อสรุปทั้งหมดก่อนเปิดเผยอย่างเป็นทางการ
เพื่อป้องกันความเสี่ยงเพิ่มเติม พวกเขาได้ระงับการดำเนินงานของ Unleash Protocol ทั้งหมด ทีมงานยังกล่าวว่ากำลังทำงานอย่างใกล้ชิดกับผู้เชี่ยวชาญด้านความปลอดภัยอิสระและนักสืบสวนทางนิติวิทยาศาสตร์เพื่อหาสาเหตุหลัก
นอกจากนี้ยังได้ดำเนินการตรวจสอบกิจกรรมของผู้ลงนาม multisig การจัดการกุญแจ และกระบวนการบริหาร
ผู้ใช้จึงได้รับคำแนะนำให้งดการโต้ตอบกับสัญญา Unleash Protocol และติดตามช่องทางการสื่อสารอย่างเป็นทางการของ Unleash เท่านั้นเพื่อรับข้อมูลอัปเดตที่ถูกต้อง
ที่น่าสังเกตคือ การโจมตีแบบ multisig ของ Unleash เป็นเพียงเหตุการณ์ล่าสุดในบรรดาการโจรกรรมคริปโตที่ผ่านมา ตามรายงานของ U.Today ผู้ใช้คริปโตคนหนึ่งสูญเสีย USDT มูลค่า 50 ล้านดอลลาร์ให้กับกลโกงปลอมแปลงที่อยู่
ก่อนหน้านี้ การโจมตีนี้ ผู้โจมตีได้สำรวจช่องโหว่ด้านความปลอดภัยใน XWiki และ DELMIA Apriso ส่งผลให้ผู้โจมตีขุดเหรียญ Monero (XMR) โดยไม่ได้รับอนุญาต
ในแผนการล่าสุด ผู้ไม่หวังดีได้ขโมยคริปโตมูลค่า 773,000 ดอลลาร์จากโปรเจกต์ DeFi Hyperdrive
