هک پروتکل Unleash منجر به ضرر 3.9 میلیون دلاری در داراییهای مبتنی بر اتریوم پس از نقض حاکمیت چند امضایی در پروتکل Story شد. مهاجم از کنترلهای مدیریتی سوءاستفاده کرد تا USDC، WETH، stIP و vIP را برداشت کند، سپس وجوه را از طریق 34 انتقال به Tornado Cash شستشو داد. پروتکل عملیات را متوقف کرد و تحقیقات را آغاز نمود.
-
هک پروتکل Unleash: 3.9 میلیون دلار از طریق سوءاستفاده از چند امضا در پروتکل Story سرقت شد.
-
مهاجم USDC، WETH، stIP، vIP را برداشت کرد؛ به اتریوم پل زد.
-
34 انتقال ETH به Tornado Cash، شامل دستههای 100 ETH، برای شستشو (دادههای PeckShieldAlert).
هک پروتکل Unleash منجر به ضرر 3.9 میلیون دلاری ETH از نقض چند امضایی شد. جزئیات سوءاستفاده، تاکتیکهای شستشو و پاسخ پروتکل را کشف کنید. امن بمانید—برای بینشهای دیفای همین حالا بخوانید (158 کاراکتر).
هک پروتکل Unleash چیست؟
هک پروتکل Unleash به یک حادثه امنیتی در دسامبر 2024 اشاره دارد که در آن مهاجمان حاکمیت چند امضایی پروتکل را در پروتکل Story به خطر انداختند و منجر به سرقت تقریباً 3.9 میلیون دلار دارایی شدند. مهاجم دسترسی مدیریتی غیرمجاز به دست آورد، قراردادهای هوشمند را ارتقا داد و وجوه کاربران از جمله توکنهای USDC، WETH، stIP و vIP را برداشت کرد. این وجوه به شبکه اصلی اتریوم پل زده شدند و به صورت سیستماتیک به Tornado Cash برای مبهمسازی ارسال شدند.
هک پروتکل Unleash چگونه رخ داد؟
این نقض ناشی از آسیبپذیری در چارچوب حاکمیت چند امضایی پروتکل Unleash بود. بر اساس تحلیل PeckShieldAlert، مهاجم از امتیازات مدیریتی سوءاستفاده کرد تا ارتقاهای مخرب قرارداد هوشمند را مستقر کند. این امر برداشتهای غیرمجاز را با دور زدن رویههای استاندارد امکانپذیر ساخت. داراییهای سرقت شده در مجموع حدود 3.9 میلیون دلار ارزش داشتند، عمدتاً به صورت معادل ETH پس از پل زدن.
پس از سوءاستفاده، وجوه از طریق 34 تراکنش طی 11-12 ساعت به قراردادهای واریز Tornado Cash منتقل شدند. PeckShieldAlert الگوهای ساختاریافته را ثبت کرد: چندین واریز 1 ETH، 10 ETH و دستههای برجسته 100 ETH، به علاوه یک انتقال 0.1 ETH. کارمزدهای شبکه در 0.0028-0.0030 ETH به ازای هر تراکنش ثابت ماندند، همگی از یک کیف پول به خطر افتاده، که نشاندهنده برنامهریزی عمدی است.
این حادثه خطرات تنظیمات چند امضایی را برجسته میکند، جایی که چندین امضاکننده کلیدها را مدیریت میکنند اما مهندسی اجتماعی یا به خطر افتادن کلید میتواند چنین سوءاستفادههایی را امکانپذیر کند. بیانیه پروتکل Unleash روشن کرد که قراردادهای اصلی، اعتبارسنجها و زیرساخت پروتکل Story تحت تأثیر قرار نگرفتهاند و مشکل به مجوزهای حاکمیت محدود شده است.
سوالات متداول
در هک پروتکل Unleash چه اتفاقی افتاد؟
در هک پروتکل Unleash، یک مهاجم از کنترلهای چند امضایی سوءاستفاده کرد تا 3.9 میلیون دلار دارایی مانند USDC و WETH را از قراردادهای مبتنی بر پروتکل Story سرقت کند. وجوه از طریق Tornado Cash در دستههای ساختاریافته ETH شستشو شدند. پروتکل بلافاصله عملیات را متوقف کرد و فعالیتهای امضاکننده را بررسی میکند.
آیا پروتکل Story پس از هک پروتکل Unleash امن است؟
بله، پروتکل Unleash تأیید کرد که زیرساخت اصلی پروتکل Story امن باقی مانده است، بدون هیچگونه نقض در قراردادها یا اعتبارسنجها. نقض به چارچوب حاکمیت Unleash محدود شد. کاربران باید بهروزرسانیهای رسمی را قبل از از سرگیری تعاملات نظارت کنند.
نکات کلیدی
- آسیبپذیریهای چند امضایی افشا شد: چارچوبهای حاکمیت همچنان یک هدف اصلی هستند؛ حسابرسی منظم و بررسی امضاکننده ضروری است.
- الگوهای شستشو شناسایی شد: 34 انتقال ساختاریافته به Tornado Cash تاکتیکهای مبهمسازی پیشرفته را بر اساس دادههای PeckShieldAlert برجسته میکند.
- پاسخ سریع حیاتی است: توقف عملیات از ضررهای بیشتر جلوگیری میکند—Unleash امنیت را با همکاری متخصصان تقویت میکند.
نتیجهگیری
هک پروتکل Unleash، شامل نقض چند امضایی 3.9 میلیون دلاری، نمونهای از چالشهای امنیتی مداوم دیفای در میان پیچیدگی فزاینده پروتکل است. با هدایت وجوه از طریق Tornado Cash و تحقیقات متمرکز در جریان، پروتکل Unleash اصلاح و شفافیت را در اولویت قرار میدهد. کاربران دیفای باید پروژههایی با حسابرسی حاکمیت قوی را در اولویت قرار دهند و با تکامل اکوسیستم به سمت حفاظتهای قویتر هوشیار بمانند.
پروتکل Unleash پس از نقض چند امضایی 3.9 میلیون دلار ETH را از دست میدهد؛ وجوه سرقت شده برای شستشو به Tornado Cash هدایت شد.
- مهاجم از حاکمیت چند امضایی سوءاستفاده کرد تا داراییهای USDC، WETH، stIP و vIP را برداشت کند.
- 34 انتقال ETH به Tornado Cash رفت، شامل دستههای ساختاریافته 100 ETH.
- پروتکل عملیات را متوقف کرد، فعالیت چند امضایی را بررسی کرده و اقدامات امنیتی را تقویت میکند.
یک نقض امنیتی به پروتکل Unleash در پروتکل Story وارد شد و منجر به ضرر تقریباً 3.9 میلیون دلار وجوه کاربران شد. PeckShieldAlert گزارش داد یک عامل غیرمجاز از کنترل مدیریتی در حاکمیت چند امضایی پروتکل سوءاستفاده کرد.
در نتیجه، مهاجم قراردادهای هوشمند را ارتقا داد و برداشت دارایی را خارج از رویههای رسمی امکانپذیر ساخت. وجوه سرقت شده، شامل USDC، WETH، stIP و vIP، به اتریوم پل زده شدند و به Tornado Cash، یک سرویس ترکیب ارز دیجیتال، هدایت شدند. این انتقال سیستماتیک نشاندهنده تلاش عمدی برای مبهم کردن ردپای تراکنش است.
دادههای PeckShieldAlert الگوی متمرکز تراکنشهای اتریوم را برجسته میکند. کیف پول به خطر افتاده 34 انتقال خروجی را در 11 تا 12 ساعت اجرا کرد و تمام وجوه را مستقیماً به قراردادهای واریز Tornado Cash ارسال کرد. اندازه تراکنشها از فئههای ساختاریافته پیروی کردند، با چندین واریز 1 ETH، چندین انتقال 10 ETH و یک خوشه قابل توجه از واریزهای 100 ETH.
علاوه بر این، یک تراکنش 0.1 ETH در این دوره ظاهر شد. دستهبندی به آدرسهای متعدد شستشوی از پیش برنامهریزی شده را نشان میدهد، نه فعالیت تصادفی. کارمزدهای شبکه در 0.0028-0.0030 ETH ثابت ماند، همگی از یک کیف پول.
تحقیقات و پاسخ پروتکل
پروتکل Unleash این حادثه را در یک بیانیه تأیید کرد و تأکید کرد که زیرساخت اصلی پروتکل Story همچنان تحت تأثیر قرار نگرفته است. آنها توضیح دادند، "این حادثه در چارچوب حاکمیت و مجوز پروتکل Unleash سرچشمه گرفت. هیچ مدرکی مبنی بر به خطر افتادن قراردادهای پروتکل Story، اعتبارسنجها یا زیرساخت اساسی وجود ندارد."
پروتکل بلافاصله عملیات را برای جلوگیری از ضرر بیشتر متوقف کرد. آنها با متخصصان امنیتی همکاری میکنند تا فعالیت امضاکننده چند امضایی، شیوههای مدیریت کلید و رویههای حاکمیت را بررسی کنند.
پروتکل Unleash از کاربران میخواهد تا اطلاع بعدی از تعامل با قراردادهای آن خودداری کنند. آنها به حفظ دادههای آنچین ادامه میدهند و با شرکای اکوسیستم هماهنگ میکنند. تیم ارتباطات شفاف و اقدامات اصلاحی دقیق را در اولویت قرار میدهد.
در زمینه گستردهتر دیفای، چنین نقضهای چند امضایی نیاز به امنیت لایهای را برجسته میکنند: کیف پولهای سختافزاری، محاسبات چند طرفه و قفلهای زمانی برای ارتقاها. نظارت بلادرنگ PeckShieldAlert نمونهای است از اینکه چگونه شرکتهای تحلیل بلاک چین به پاسخ سریع کمک میکنند و جریانها را قبل از مبهمسازی کامل ردیابی میکنند.
در حالی که Tornado Cash حریم خصوصی را امکانپذیر میکند، استفاده از آن در شستشو نظارت نظارتی را افزایش میدهد. پروتکلهایی مانند Unleash میتوانند با اجرای چرخش بهبود یافته امضاکننده و تشخیص ناهنجاری بهبود یابند. سرمایهگذاران باید شفافیت حاکمیت را از طریق قابلیت تأیید آنچین قبل از مشارکت بررسی کنند.
منبع: https://en.coinotag.com/unleash-protocol-faces-3-9m-eth-loss-in-suspected-multisig-breach
