Unleash Protocol trên Story Protocol bị nâng cấp hợp đồng trái phép, dẫn tới việc kẻ tấn công chuyển tài sản người dùng ra địa chỉ ngoài và thiệt hại xác nhận khoảng 3,9 triệu USD.
Sự cố xảy ra ngày 30/12 theo thông báo chính thức: kẻ tấn công thao túng quyền quản trị đa chữ ký để triển khai nâng cấp, sau đó thực hiện chuyển tài sản và chuyển chuỗi. Unleash đã dừng toàn bộ hoạt động và khuyến cáo người dùng không tương tác với hợp đồng.
- Unleash Protocol bị nâng cấp hợp đồng trái phép do lạm dụng quyền multi-signature.
- Thiệt hại xác nhận khoảng 3,9 triệu USD; tài sản bị chuyển ra địa chỉ ngoài và chuyển chuỗi.
- Unleash dừng hoạt động, điều tra và audit; Story Protocol không bị ảnh hưởng.
Diễn biến và mức thiệt hại
Vụ việc gồm 2 bước: nâng cấp hợp đồng trái phép và chuyển tài sản người dùng ra ngoài, với mức lỗ xác nhận khoảng 3,9 triệu USD.
Theo thông báo, kẻ tấn công đã thao túng quyền quản trị đa chữ ký để thực hiện một đợt nâng cấp hợp đồng không được ủy quyền. Sau khi nâng cấp được triển khai, tài sản người dùng bị chuyển đi và được chuyển chuỗi sang các địa chỉ bên ngoài hệ thống.
Các tài sản bị nêu tên trong vụ chuyển trái phép gồm WIP, USDC, WETH, stIP và vIP. Dữ liệu công bố cho biết đây là các tài sản đã bị đánh cắp và chuyển xuyên chuỗi, nhưng không nêu tổng số lượng từng loại.
Ứng phó của dự án và phạm vi ảnh hưởng
Unleash Protocol đã tạm dừng toàn bộ hoạt động, mở điều tra và audit, đồng thời yêu cầu người dùng ngừng tương tác với các hợp đồng.
Dự án cho biết đang tiến hành quy trình điều tra toàn diện và kiểm toán để làm rõ nguyên nhân, cơ chế bị lợi dụng và luồng chuyển tài sản. Khuyến cáo trọng tâm là tránh mọi tương tác hợp đồng trong thời gian xử lý để giảm rủi ro phát sinh thêm.
Thông báo cũng nhấn mạnh Story Protocol không bị ảnh hưởng bởi sự cố này, hàm ý phạm vi tấn công tập trung vào Unleash Protocol được triển khai trên Story Protocol, thay vì tác động trực tiếp đến hạ tầng của Story Protocol.
