Несанкционированное обновление контракта позволило осуществлять прямые выводы средств из протокола.
Средства были переброшены в сеть Ethereum и отмыты через Tornado Cash.
Затронутыми активами стали WIP, USDC, WETH, stIP и vIP.
Сбой в системе управления Unleash Protocol привел к серьезному нарушению безопасности, в результате которого злоумышленники похитили около 3,9 миллиона долларов пользовательских средств.
Инцидент был первоначально обнаружен компанией по безопасности блокчейна PeckShieldAlert, а впоследствии подтвержден командой Unleash.
Хотя эксплойт не затронул более широкую экосистему Story, он вновь привлек внимание к тому, как механизмы управления могут стать критической точкой отказа в децентрализованных финансах.
Unleash Protocol — это децентрализованная платформа, построенная на Story Protocol.
Проект заявил, что инцидент ограничился его собственными контрактами и административным контролем, и не было обнаружено признаков компрометации валидаторов или ключевой инфраструктуры Story Protocol.
Тем не менее, это событие демонстрирует, как уязвимости на уровне приложения все еще могут приводить к значительным потерям.
Обход контроля управления
Анализ данных в блокчейне указывает на то, что злоумышленник атаковал мультиподписную систему управления Unleash Protocol.
Воспользовавшись слабостями в реализации прав администратора, злоумышленник получил несанкционированный доступ, обычно зарезервированный для утвержденных подписантов.
Этот доступ был затем использован для проведения несанкционированного командой обновления контракта.
Несанкционированное обновление изменило способ обработки выводов средств протоколом. После эффективного обхода стандартных проверок управления злоумышленник смог напрямую вывести средства из протокола.
По данным Unleash, эти действия произошли вне установленной системы управления и не были обнаружены до тех пор, пока средства уже не были изъяты.
Отмывание через мосты и микшеры
После извлечения активов злоумышленник перевел средства в сеть Ethereum. Оттуда активы были разбиты на множество транзакций — стратегия, часто используемая для затруднения отслеживания.
Данные блокчейна показывают, что позднее 1337,1 ETH было внесено в Tornado Cash. Вклады делались разными суммами, от небольших переводов до партий до 100 ETH.
Такая схема указывает на преднамеренную попытку скрыть цепочку транзакций и снизить эффективность инструментов мониторинга в блокчейне.
Затронутые токены
В официальном уведомлении об инциденте Unleash Protocol подтвердил, что в ходе эксплуатации уязвимости пострадало несколько активов.
В их число вошли WIP, USDC, WETH, stIP и vIP.
Команда повторила, что все затронутые выводы средств были осуществлены через несанкционированное обновление контракта, а не через обычные пользовательские взаимодействия.
Важным является уточнение, что сам Story Protocol не был скомпрометирован.
Это указывает на то, что утечка произошла из-за внутренней архитектуры управления Unleash, а не из-за недостатков базового блокчейна или его набора валидаторов.
Принятые экстренные меры
После подтверждения нарушения Unleash Protocol приостановил все операции на платформе, чтобы предотвратить дальнейшие потери.
Команда заявила, что работает с независимыми экспертами по безопасности и криминалистами, чтобы выяснить, как были обойдены защитные механизмы управления и остаются ли дополнительные уязвимости.
Пользователям рекомендовано воздерживаться от взаимодействия с контрактами Unleash Protocol до получения дальнейших обновлений.
Проект заявил, что в ходе расследования будущие сообщения будут публиковаться только через официальные каналы.
Статья «Как сбой в управлении привел к взлому Unleash Protocol» впервые появилась на CoinJournal.
Source: link
