Unleash Protocol стикається з критикою через безпекову брешь: 3.9 мільйонів доларів переведено через Tornado Cash

Протокол фінансування інтелектуальної власності Unleash Protocol зазнав значної кібер-атаки, внаслідок якої було втрачено приблизно 3.9 мільйонів доларів. За даними аналітиків з безпеки блокчейн PeckShield, викрадені кошти були спрямовані через сервіси змішування криптовалют для ускладнення їхнього цифрового сліду.

Інцидент був спричинений критичною вразливістю у механізмі управління протоколом, що дозволило зловмиснику отримати несанкціонований адміністративний доступ до системи смарт-контрактів.

Як збій у системі мультипідписного управління дозволив викрадення

Технічний аналіз PeckShield та дослідники з LookonChain погодилися, що атака не виникла через вразливість у базовому протоколі Story Protocol, а через конкретну помилку в архітектурі управління Unleash.

Згідно з офіційною заявою протоколу, «раніше сьогодні ми виявили несанкціоновану активність, пов’язану з нашими смарт-контрактами, що призвело до зняття та переказу коштів користувачів. Попереднє розслідування показує, що зовнішня адреса отримала адміністративний контроль через систему мультипідписного управління, що дозволило несанкціоноване оновлення контракту.»

Такий тип атаки становить особливу загрозу для платформ DeFi, де децентралізоване управління є основним механізмом контролю. Мультипідпис, який нібито вимагає кілька підтверджень, був зламаний, що дозволило оновлювати контракт поза стандартними процедурами управління.

Шлях доларів: від Unleash до Tornado Cash

Затронуті активи у рамках атаки включають кілька токенів екосистеми: WIP, USDC, WETH, stIP та vIP. Після вилучення цих доларів із протоколу, кошти були негайно переказані через сторонню інфраструктуру на зовнішні адреси.

Зловмисник спеціально депонув 1,337.1 ETH — що приблизно дорівнює 3.2 мільйонам доларів за поточним курсом — у Tornado Cash, сервіс змішування криптовалют, широко використовуваний для маскування історії транзакцій у блокчейні. Ця техніка «відмивання» є поширеною тактикою у крадіжках криптовалют, щоб зробити практично неможливим відстеження викрадених доларів після їх входу до Tornado Cash.

Швидкість переказу — від зламаного протоколу до Tornado Cash — свідчить про координовану операцію, ймовірно, з підготовкою зловмисника заздалегідь цільових адрес.

Story Protocol та екосистема фінансування інтелектуальної власності

Unleash Protocol працює у рамках екосистеми Story Protocol, платформи, створеної для токенізації прав інтелектуальної власності. Мета цих платформ — дозволити медіа, брендам та творчим роботам бути перенесеними у блокчейн, токенізованими, ліцензованими або використовуваними як фінансові примітиви у децентралізованих додатках.

Хоча атака безпосередньо вплинула на Unleash, розслідування підтвердило, що сама Story Protocol не була вразливою. Проблема була саме у шарі управління Unleash, а не у базовому протоколі. Однак цей інцидент підкреслює ризики, пов’язані з погано захищеними системами управління у екосистемі DeFi.

Надзвичайна реакція та подальші кроки для користувачів

Негайно після виявлення несанкціонованої активності Unleash Protocol призупинив усі операції, поки триває розслідування. Протокол співпрацює з незалежними експертами з безпеки та кримінальними дослідниками для визначення кореневої причини вразливості у системі управління.

Користувачам суворо рекомендується не взаємодіяти з контрактами протоколу Unleash до подальших повідомлень. Долари, що залишилися на депозитах, потенційно під загрозою до повного вирішення ситуації. Вся офіційна інформація передається через офіційні канали протоколу у соцмережах та прямі комунікації.

Наслідки для безпеки у DeFi та ключові уроки

Цей інцидент підкреслює фундаментальну істину децентралізованої екосистеми: безпека управління так само критична, як і безпека коду. Вкрадені 3.9 мільйонів доларів через адміністративну брешь, а не через технічну вразливість, підтверджують, що централізація влади навіть у системах мультипідпису може бути використана.

Для платформ, що керують токенізованою інтелектуальною власністю та її фінансовими правами, стандарти управління мають бути більш суворими. Досвід із Unleash Protocol нагадуватиме спільноті DeFi, що кошти користувачів захищені лише тоді, коли адміністративні структури є стійкими до компрометацій та внутрішніх атак.

Індустрія продовжить вчитися на таких подіях, що механізми децентралізованого управління потребують постійного нагляду та періодичних аудитів безпеки з залученням спеціалістів.