Unleash Protocol зазнав витоку $3.9M ETH через Tornado Cash

• Зловмисник зловживав мультиsig-управлінням для виведення активів USDC, WETH, stIP та vIP.

• 34 перекази ETH були спрямовані до Tornado Cash, включаючи структуровані пакети по 100 ETH.

• Протокол призупинив операції, розслідує активність у мультиsig та посилює заходи безпеки.

Злам стався у Unleash Protocol на Story Protocol, що призвело до втрати приблизно 3,9 мільйонів доларів у коштах користувачів. За даними PeckShieldAlert, несанкціонований актор зловжив адміністративним контролем у мультиsig-управлінні протоколу.

Внаслідок цього зловмисник оновив смарт-контракти, що дозволило виведення активів поза офіційними процедурами. Вкрадені кошти, включаючи USDC, WETH, stIP та vIP, були перенаправлені до Ethereum і routed до Tornado Cash, сервісу змішування криптовалют. Цей систематичний переказ свідчить про навмисну спробу приховати слід транзакцій.

Дані PeckShieldAlert підкреслюють зосереджений патерн транзакцій Ethereum. Зламаний гаманець здійснив 34 вихідні перекази протягом 11-12 годин, направляючи всі кошти безпосередньо до депозитних контрактів Tornado Cash. Розміри транзакцій відповідали структурованим номіналам: кілька депозитів по 1 ETH, кілька переказів по 10 ETH та значна група депозитів по 100 ETH.

Крім того, у цьому періоді було зафіксовано ще один транзакцій на 0.1 ETH. Пакування транзакцій для впливу на кілька адрес демонструє, що транзакції не були випадковими, а були результатом планування транзакційного відмивання. Вартість мережевих зборів залишалася стабільною — близько 0.0028-0.0030 ETH. Всі ці транзакції були здійснені одним гаманцем.

Розслідування та реакція протоколу

Unleash Protocol підтвердив інцидент у заяві, підкреслюючи, що основна інфраструктура Story Protocol залишилася цілісною. Вони пояснили: «Інцидент виник у межах управління та дозволів Unleash Protocol. Немає доказів компрометації контрактів Story Protocol, валідаторів або базової інфраструктури.»

Протокол негайно призупинив операції, щоб запобігти подальшим втратам. Крім того, вони співпрацюють із фахівцями з безпеки для розслідування активності підписантів у мультиsig, практик управління ключами та процедур управління.

Крім того, Unleash Protocol закликає користувачів утриматися від взаємодії з його контрактами до подальших повідомлень. Вони продовжують зберігати дані в блокчейні та координують дії з партнерами екосистеми. За їхньою заявою, команда пріоритетує прозору комунікацію та обережні заходи з виправлення ситуації.