Предупреждение о мошенничестве: Unleash Protocol подвергся мультиподписной уязвимости - U.Today

Unleash Protocol раскрыл несанкционированную деятельность, связанную с его смарт-контрактами, которая привела к выводам и переводам средств пользователей. Расследования CertiK Alert выявили депозиты Ethereum в Tornado Cash после эксплуатации Unleash Protocol.

Unleash Protocol расследует мультисигаут-эксплойт

CertiK Alert сообщил в X, что обнаружил депозиты 1 337,1 ETH, оцененных примерно в 3,9 миллиона долларов, переведённые в Tornado Cash. Платформа связала этот перевод с кошельным адресом 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3.

CertiK Alert добавил, что средства прослеживаются до подозрительных выводов Wrapped ETH и Story токенов с возможного скомпрометированного мультисига.

Этот отчёт появился вскоре после того, как Unleash Protocol объявил о расследовании эксплойта, приведшего к потере средств пользователей.

Команда Unleash Protocol заявила, что предварительное расследование показало, что внешний адрес получил административный контроль через своё мультисигауард.

После атаки злоумышленники произвели несанкционированное обновление контракта, что позволило осуществлять несанкционированные выводы активов. Это произошло вне рамок предполагаемых процедур управления и операций Unleash.

К активам, затронутым этим инцидентом, относятся WIP, USDC, WETH, stIP и vIP. После выводов злоумышленники осуществили мостинг этих активов через стороннюю инфраструктуру, а затем отправили их на внешние адреса.

Как Unleash управляет ситуацией с эксплойтом

В своём заявлении команда Unleash Protocol отметила, что не обнаружила признаков компрометации контрактов Story Protocol, валидаторов или базовой инфраструктуры. Они также добавили, что влияние, по всей видимости, ограничено контрактами и административными контролями, специфичными для Unleash.

Однако команда заверила пользователей, что расследование всё ещё продолжается, и все выводы будут подтверждены перед окончательным раскрытием.

Для предотвращения дальнейших рисков они приостановили все операции Unleash Protocol. Также команда отметила, что тесно сотрудничает с независимыми специалистами по безопасности и судебными экспертами для определения коренной причины.

Это дополнительно включает полный обзор деятельности подписантов мультисига, практик управления ключами и процессов управления.

Пользователям рекомендуется воздерживаться от взаимодействия с контрактами Unleash Protocol и следить только за официальными каналами коммуникации Unleash для получения точных обновлений.

Стоит отметить, что эксплойт мультисигауард-эксплойта Unleash — лишь последний из недавних случаев кражи криптовалюты. Как отмечается в отчёте U.Today, крипто-пользователь недавно потерял 50 миллионов USDT из-за мошенничества с подделкой адреса.

До этого атаки злоумышленники исследовали уязвимость в XWiki и DELMIA Apriso. В результате злоумышленники майнили криптовалюту Monero (XMR) без разрешения.

В другом недавнем случае злоумышленники украли криптовалюту на сумму 773 000 долларов из DeFi-проекта Hyperdrive.