Децентрализованная платформа для управления интеллектуальной собственностью Unleash Protocol потеряла около $3,9 млн в криптовалюте после того, как кто-то выполнил несанкционированное обновление смарт-контракта, позволившее выводить активы.
По словам команды блокчейн-проекта, злоумышленник получил достаточные полномочия подписи, чтобы действовать как администратор системы управления multisig Unleash.
«Наше первоначальное расследование указывает на то, что внешний адрес получил административный контроль через систему управления multisig Unleash и выполнил несанкционированное обновление контракта», — говорится в публичном заявлении компании.
«Это обновление позволило выводить активы, которые не были одобрены командой Unleash и происходили вне наших предусмотренных процедур управления и эксплуатации».
Unleash Protocol описывается как операционная система для управления интеллектуальной собственностью путём её преобразования в ончейн-активы (токены), которые могут использоваться в качестве залога в экосистеме DeFi.
Платформа предоставляет слой монетизации через смарт-контракты и автоматически распределяет лицензионные и роялти-доходы между заранее определёнными участниками в соответствии с ончейн-правилами.
Выполнив несанкционированное обновление смарт-контракта, злоумышленник получил возможность осуществлять вывод средств и использовал её для кражи активов WIP (wrapped IP), USDC, WETH (wrapped Ether), stIP (staked IP) и vIP (voting-escrowed IP).
Эксперты по безопасности блокчейна из PeckShieldAlert сообщают, что несанкционированный вывод эквивалентен потерям примерно в $3,9 млн.
После вывода активы были переброшены через стороннюю инфраструктуру и переведены на внешние адреса с целью снижения отслеживаемости.
PeckShieldAlert также сообщает, что злоумышленник внес похищенные средства в криптовалютный миксер Tornado Cash в виде 1 337 ETH.
.
Сервис Tornado Cash, который был санкционирован США в 2022 году и исключён из листинга в 2025 году за роль в отмывании средств для северокорейских хакерских групп, позволяет пользователям пропускать криптовалюту через механизмы обфускации перед выводом в новые, не связанные с исходными кошельки.
Хотя сервис изначально предназначен для обеспечения приватности транзакций в публичных блокчейнах, он неоднократно использовался киберпреступниками для обхода отслеживания правоохранительными органами и мер по заморозке активов.
В ответ на инцидент Unleash Protocol приостановил все операции и начал расследование с привлечением внешних экспертов по безопасности для определения первопричины эксплойта. Параллельно компания оценивает меры по устранению последствий и возможному восстановлению средств.
В настоящее время пользователям рекомендуется не взаимодействовать с контрактами Unleash Protocol до тех пор, пока компания публично не объявит на своих официальных каналах, что это безопасно.
- Источник: https://www.bleepingcomputer[.]com/...-from-unleash-protocol-after-multisig-hijack/
По словам команды блокчейн-проекта, злоумышленник получил достаточные полномочия подписи, чтобы действовать как администратор системы управления multisig Unleash.
«Наше первоначальное расследование указывает на то, что внешний адрес получил административный контроль через систему управления multisig Unleash и выполнил несанкционированное обновление контракта», — говорится в публичном заявлении компании.
«Это обновление позволило выводить активы, которые не были одобрены командой Unleash и происходили вне наших предусмотренных процедур управления и эксплуатации».
Unleash Protocol описывается как операционная система для управления интеллектуальной собственностью путём её преобразования в ончейн-активы (токены), которые могут использоваться в качестве залога в экосистеме DeFi.
Платформа предоставляет слой монетизации через смарт-контракты и автоматически распределяет лицензионные и роялти-доходы между заранее определёнными участниками в соответствии с ончейн-правилами.
Выполнив несанкционированное обновление смарт-контракта, злоумышленник получил возможность осуществлять вывод средств и использовал её для кражи активов WIP (wrapped IP), USDC, WETH (wrapped Ether), stIP (staked IP) и vIP (voting-escrowed IP).
Эксперты по безопасности блокчейна из PeckShieldAlert сообщают, что несанкционированный вывод эквивалентен потерям примерно в $3,9 млн.
После вывода активы были переброшены через стороннюю инфраструктуру и переведены на внешние адреса с целью снижения отслеживаемости.
PeckShieldAlert также сообщает, что злоумышленник внес похищенные средства в криптовалютный миксер Tornado Cash в виде 1 337 ETH.
.
Сервис Tornado Cash, который был санкционирован США в 2022 году и исключён из листинга в 2025 году за роль в отмывании средств для северокорейских хакерских групп, позволяет пользователям пропускать криптовалюту через механизмы обфускации перед выводом в новые, не связанные с исходными кошельки.
Хотя сервис изначально предназначен для обеспечения приватности транзакций в публичных блокчейнах, он неоднократно использовался киберпреступниками для обхода отслеживания правоохранительными органами и мер по заморозке активов.
В ответ на инцидент Unleash Protocol приостановил все операции и начал расследование с привлечением внешних экспертов по безопасности для определения первопричины эксплойта. Параллельно компания оценивает меры по устранению последствий и возможному восстановлению средств.
В настоящее время пользователям рекомендуется не взаимодействовать с контрактами Unleash Protocol до тех пор, пока компания публично не объявит на своих официальных каналах, что это безопасно.
- Источник: https://www.bleepingcomputer[.]com/...-from-unleash-protocol-after-multisig-hijack/