Unleash Protocolは、そのスマートコントラクトに関与する不正行為を開示し、ユーザーファンドの引き出しと送金を引き起こしました。CertiK Alertの調査によると、Unleash Protocolの脆弱性に続き、Ethereumの預入れがTornado Cashに行われたことが判明しました。
CertiK AlertはXで、約390万ドル相当の1,337.1 ETHの預入れがTornado Cashに送金されたことを検出したと発表しました。プラットフォームは、その送金元のウォレットアドレス0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3を関連付けました。
CertiK Alertは、資金が疑わしいWrapped ETHとStoryトークンの引き出しに遡ると付け加えました。これらは、恐らく侵害されたマルチシグからのものであると考えられます。
この報告は、Unleash Protocolがユーザーファンドの喪失につながった脆弱性を調査していると発表した直後に出されました。
Unleash Protocolのチームは、初期調査で外部所有のアドレスがマルチシグガバナンスを通じて管理権を獲得したことを示唆しました。
攻撃後、攻撃者は無許可のコントラクトアップグレードを行い、無許可の資産引き出しを可能にしました。これは、Unleashの意図したガバナンスや運用手順の外で行われました。
影響を受けたと特定された資産には、WIP、USDC、WETH、stIP、vIPがあります。引き出し後、攻撃者はこれらの資産をサードパーティのインフラを使ってブリッジし、その後外部アドレスに送信しました。
発表によると、Unleash Protocolチームは、Story Protocolのコントラクト、バリデーター、または基盤インフラに対する侵害の証拠はないと述べています。また、影響はUnleash固有のコントラクトと管理コントロールに限定されているようだとも付け加えました。
しかし、チームは調査が継続中であり、すべての結論は最終的な公開前に確認されると保証しました。
さらなるリスクを防ぐため、彼らはすべてのUnleash Protocolの運用を停止しました。チームはまた、根本原因を特定するために、独立したセキュリティ専門家やフォレンジック調査官と緊密に連携していることも述べています。
これに加え、マルチシグ署名者の活動、鍵管理の実践、ガバナンスプロセスの全面的な見直しも行っています。
ユーザーは、Unleash Protocolのコントラクトとやり取りを控え、正確な情報を得るために公式のUnleashコミュニケーションチャネルのみをフォローすることが推奨されます。
特筆すべきは、Unleashのマルチシグ脆弱性は最近の暗号資産盗難の中で最新のものであるということです。U.Todayの報告によると、ある暗号ユーザーがアドレスのなりすまし詐欺により5000万USDTを失いました。
この攻撃の前に、一部の攻撃者はXWikiとDELMIA Aprisoのセキュリティの脆弱性を調査しました。その結果、攻撃者は許可なくMonero (XMR)暗号通貨をマイニングしました。
また、最近の別の詐欺では、悪意のある者がDeFiプロジェクトHyperdriveから77万3000ドル相当の暗号資産を盗みました。
