Unleash Protocol telah mengungkapkan aktivitas tidak sah yang melibatkan kontrak pintar mereka yang menyebabkan penarikan dan transfer dana pengguna. Investigasi dari CertiK Alert mengungkapkan setoran Ethereum ke Tornado Cash, setelah eksploitasi Unleash Protocol.
Unleash Protocol menyelidiki eksploit multisig
CertiK Alert mengungkapkan di X bahwa mereka mendeteksi setoran 1.337,1 ETH, senilai sekitar $3,9 juta, yang ditransfer ke Tornado Cash. Platform ini mengaitkan transfer tersebut dari alamat dompet, 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3.
CertiK Alert menambahkan bahwa dana tersebut berasal dari penarikan mencurigakan Wrapped ETH dan token Story dari multisig yang mungkin telah dikompromikan.
Laporan ini muncul tak lama setelah Unleash Protocol mengumumkan sedang menyelidiki sebuah eksploit yang menyebabkan hilangnya dana pengguna.
Tim Unleash Protocol mengatakan bahwa penyelidikan awal menunjukkan bahwa sebuah alamat yang dimiliki secara eksternal mendapatkan kendali administratif melalui tata kelola multisig-nya.
Setelah serangan, pelaku eksploitasi melakukan peningkatan kontrak tanpa izin yang memungkinkan penarikan aset tanpa izin. Ini terjadi di luar prosedur tata kelola dan operasional yang dimaksudkan oleh Unleash.
Aset yang teridentifikasi terdampak meliputi WIP, USDC, WETH, stIP, dan vIP. Setelah penarikan, pelaku eksploitasi menjembatani aset-aset ini menggunakan infrastruktur pihak ketiga sebelum mengirimkannya ke alamat eksternal.
Bagaimana Unleash mengelola eksploitasi
Dalam pengumumannya, tim Unleash Protocol menyatakan tidak ada bukti kompromi terhadap kontrak Story Protocol, validator, atau infrastruktur dasar. Mereka juga menambahkan bahwa dampaknya tampaknya terbatas pada kontrak dan kontrol administratif khusus Unleash.
Namun, tim tersebut meyakinkan pengguna bahwa penyelidikan masih berlangsung, dan semua kesimpulan akan dikonfirmasi sebelum pengungkapan akhir.
Untuk mencegah risiko lebih lanjut, mereka telah menangguhkan semua operasi Unleash Protocol. Tim juga mencatat bahwa mereka bekerja sama dengan ahli keamanan independen dan penyelidik forensik untuk menentukan akar penyebabnya.
Ini dilakukan selain melakukan tinjauan lengkap terhadap aktivitas penandatangan multisig, praktik manajemen kunci, dan proses tata kelola.
Pengguna, oleh karena itu, disarankan untuk tidak berinteraksi dengan kontrak Unleash Protocol dan hanya mengikuti saluran komunikasi resmi Unleash untuk pembaruan yang akurat.
Yang perlu dicatat, eksploitasi multisig Unleash hanyalah yang terbaru di antara pencurian kripto baru-baru ini. Seperti yang dilaporkan U.Today, seorang pengguna kripto baru-baru ini kehilangan 50 juta USDT ke scam spoofing alamat.
Sebelum serangan ini, beberapa pelaku mengeksplorasi celah keamanan di XWiki dan DELMIA Apriso. Akibatnya, pelaku eksploitasi menambang mata uang kripto Monero (XMR) tanpa izin.
Dalam skema terbaru lainnya, pelaku jahat mencuri kripto senilai $773.000 dari proyek DeFi Hyperdrive.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
