Story Protocol ekosisteminde yer alan Unleash Protocol, yönetişim kaynaklı bir açık nedeniyle yaklaşık 3,9 milyon dolar kaybederken, saldırgan çalınan fonları gizlemek için Tornado Cash kullandı.
Fikri mülkiyet odaklı blokzincir projelerinden biri olan Unleash Protocol, yılın son günlerinde ciddi bir güvenlik ihlaliyle gündeme geldi. Zincir üstü güvenlik firması PeckShield tarafından paylaşılan bilgilere göre, protokolde yaşanan bir yönetişim (governance) hatası, saldırganın akıllı sözleşmeler üzerinde yetkisiz kontrol elde etmesine yol açtı.
Saldırganın bu yetkiyi kullanarak farklı varlıklardan yaklaşık 3,9 milyon dolar çektiği, ardından fonları Ethereum ağına taşıdığı belirtildi. Zincir üstü veriler, toplamda 1.337,1 ETH’nin Tornado Cash üzerinden geçirilerek işlem izlerinin gizlenmeye çalışıldığını gösteriyor.
Sorun Story Protocol değil, Unleash’in yönetişim yapısı
Unleash ekibi, X üzerinden yaptığı açıklamada olayın çoklu imza (multisig) yönetişim sistemi üzerinden gerçekleştiğini doğruladı. Açıklamaya göre harici bir cüzdan, yönetici yetkisi kazanarak yetkisiz bir sözleşme güncellemesi yaptı ve bu güncelleme sayesinde varlıklar protokolden çıkarıldı. Etkilenen varlıklar arasında WIP, USDC, WETH, stIP ve vIP yer aldı.
Hem Unleash hem de zincir üstü analiz platformu Lookonchain, saldırının Story Protocol altyapısından değil, tamamen Unleash’e özgü yönetişim mekanizmasından kaynaklandığını vurguladı. Güvenlik firması CertiK de şüpheli işlemlerin Unleash sözleşmeleriyle sınırlı olduğunu bildirdi.
Unleash Protocol, soruşturma süresince tüm operasyonları durdurduğunu ve kullanıcıların yeni bir duyuruya kadar sözleşmelerle etkileşime girmemesi gerektiğini açıkladı. Proje ekibi, bağımsız güvenlik uzmanlarıyla birlikte olayın kök nedenini belirlemek ve olası telafi adımlarını değerlendirmek üzere çalışmaları sürdürüyor.