Η αποκεντρωμένη πλατφόρμα πνευματικής ιδιοκτησίας Unleash Protocol έχασε κρυπτονομίσματα αξίας περίπου 3,9 εκατομμυρίων δολαρίων αφού κάποιος εκτέλεσε μια μη εξουσιοδοτημένη αναβάθμιση συμβολαίου που επέτρεπε αναλήψεις περιουσιακών στοιχείων.
Σύμφωνα με την ομάδα πίσω από το έργο blockchain, ο εισβολέας απέκτησε αρκετή δύναμη υπογραφής για να ενεργήσει ως διαχειριστής του συστήματος διακυβέρνησης πολλαπλών σημάτων της Unleash.
«Η αρχική μας έρευνα δείχνει ότι μια διεύθυνση που ανήκει σε εξωτερικό απέκτησε διοικητικό έλεγχο μέσω της διακυβέρνησης πολλαπλών σημάτων της Unleash και πραγματοποίησε μια μη εξουσιοδοτημένη αναβάθμιση συμβολαίου», αναφέρει η εταιρεία σε δημόσια ανακοίνωση.
“Αυτή η αναβάθμιση επέτρεψε αναλήψεις περιουσιακών στοιχείων που δεν εγκρίθηκαν από την ομάδα του Unleash και πραγματοποιήθηκαν εκτός των προβλεπόμενων διαδικασιών διακυβέρνησης και λειτουργίας”.
Το Unleash Protocol περιγράφεται ως ένα λειτουργικό σύστημα για τη διαχείριση της πνευματικής ιδιοκτησίας (IP) μετατρέποντάς το σε on-chain περιουσιακά στοιχεία (tokens) που μπορούν να χρησιμοποιηθούν ως ασφάλεια εντός του οικοσυστήματος DeFi.
Παρέχει ένα επίπεδο δημιουργίας εσόδων μέσω έξυπνων συμβολαίων και διανέμει αυτόματα έσοδα από αδειοδότηση και δικαιώματα εκμετάλλευσης σε προκαθορισμένα ενδιαφερόμενα μέρη σύμφωνα με κανόνες on-chain.
Με την εκτέλεση της μη εξουσιοδοτημένης αναβάθμισης του έξυπνου συμβολαίου, ο εισβολέας ξεκλείδωσε τη δυνατότητα να πραγματοποιεί αναλήψεις, αξιοποιώντας την για να κλέψει περιουσιακά στοιχεία WIP (περιτυλιγμένη IP), USDC, WETH (περιτυλιγμένο Ether), stIP (staked IP) και vIP (δέσμευση IP).
Οι ειδικοί ασφαλείας του Blockchain στο PeckShieldAlert αναφέρουν ότι η μη εξουσιοδοτημένη αποστράγγιση ισοδυναμεί με απώλειες περίπου 3,9 εκατομμυρίων δολαρίων.
Μετά την απόσυρσή τους, τα περιουσιακά στοιχεία γεφυρώθηκαν μέσω υποδομής τρίτων και μεταφέρθηκαν σε εξωτερικές διευθύνσεις για μείωση της ιχνηλασιμότητας.
Το PeckShieldAlert αναφέρει ότι ο εισβολέας έχει καταθέσει τα κλεμμένα ποσά στην υπηρεσία ανάμειξης κρυπτονομισμάτων Tornado Cash με τη μορφή 1.337 ETH.
Η υπηρεσία Tornado Cash, η οποία επιβλήθηκε κυρώσεις από τις ΗΠΑ το 2022 και διαγράφηκε το 2025 για το ρόλο της στο ξέπλυμα κεφαλαίων για ομάδες hacking της Βόρειας Κορέας, επιτρέπει στους χρήστες να δρομολογούν κρυπτονομίσματα μέσω μηχανισμών συσκότισης προτού το αποσύρουν σε νέα πορτοφόλια που δεν μπορούν να συνδεθούν.
Αν και έχει σχεδιαστεί για να παρέχει απόρρητο συναλλαγών σε δημόσιες αλυσίδες μπλοκ, έχει γίνει κατάχρηση από εγκληματίες του κυβερνοχώρου για να αποφύγει την παρακολούθηση της επιβολής του νόμου και τις προσπάθειες δέσμευσης περιουσιακών στοιχείων.
Ως απάντηση στο περιστατικό, το Unleash Protocol διέκοψε όλες τις λειτουργίες και ξεκίνησε έρευνα με τη βοήθεια εξωτερικών εμπειρογνωμόνων ασφαλείας για να προσδιορίσει τη βασική αιτία της εκμετάλλευσης. Παράλληλα, αξιολογούν τα μέτρα αποκατάστασης και αποκατάστασης.
Στο μεταξύ, συνιστάται στους χρήστες να μην αλληλεπιδρούν με τις συμβάσεις του Unleash Protocol έως ότου η εταιρεία ανακοινώσει δημόσια στα επίσημα κανάλια της ότι είναι ασφαλές να το πράξει.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
