Unleash Protocolは、そのスマートコントラクトに対する不正な操作により重大なセキュリティ侵害が発生し、ユーザー資金が引き出され転送されたことを確認しました。このインシデントは本日早朝に特定されており、問題の封じ込めと原因の特定を試みるチームによって、すでにすべてのUnleash Protocolの運用が自動的に停止されています。
Unleashチームが発表した公式インシデント通知によれば、攻撃はプロトコルのガバナンスおよび権限構造に対して開始されました。最初の兆候によると、外部所有アドレスがUnleashのマルチシグガバナンス構造によって管理権限も取得したことが示されています。このアクセスを利用し、攻撃者はプロジェクトのガバナンスおよび運用プロセスを超えた引き出しを可能にする不正なコントラクトアップグレードを行いました。
不正なコントラクトアップグレードによる資産引き出し
ハッキングされたアップグレードにより、Unleash Protocolのスマートコントラクトに保管されていた様々なリソースの抽出が可能になったとされています。現時点で影響が確認されている資産は、WIP、USDC、WETH、およびステーキング関連のトークンであるstIPとvIPです。これらの引き出しはサードパーティインフラによってブリッジされ、その後資産は外部アドレスに移動され、即座の回収が困難となっています。
Unleashはまた、こうした動きはコアチームによって承認されたものではなく、完全に意図しない形でガバナンスコントロール内で発生したことを強調しました。プロトコルのリーダーシップによれば、本インシデントは管理保護メカニズムの重大な失敗であると説明できますが、より大規模なインフラ攻撃ではありません。
影響範囲は限定的である模様
最初の評価において、Unleash Protocolチームは現時点でStory Protocolのコントラクト、バリデーター、基盤インフラに妥協の証拠は見つかっていないと記しています。影響はUnleash特有のコントラクトおよび管理制限に限定されているようで、問題が広範なエコシステムに及んでいないことを示しています。
しかしチームは調査が継続中であり、結論が公開される前にすべての発見が確認されることを警告しました。インシデントのオンチェーンデータは、今後の報告に用いるためのフォレンジック調査を促進するために保管されています。
緊急対応および継続的な調査
Unleash Protocolは、ユーザーおよび他の資産へのリスク拡大を防ぐ対応策として、すべての運用を停止しました。チームは現在、独立したセキュリティ専門家やフォレンジック調査官と緊密に協力し、管理権限の取得方法や他の脆弱性の有無を明らかにしようとしています。
マルチシグ署名者の活動、重要な管理実務、ガバナンスプロセスが完全に見直されています。Unleash Protocolは、特にブリッジやトランザクションルーティングなどのエコシステムパートナーやインフラプロバイダーとも同期し、資金の流れの追跡や潜在的な緩和策の特定に努めていることも確認しました。
ユーザーへの指針と安全対策
Unleashは、さらなる通知があるまで、ユーザーに対しUnleash Protocolのコントラクトと関わらないよう呼びかけています。また、公式のコミュニケーションチャネルのみを頼り、ハイプロファイルなインシデント後に頻発する誤情報やなりすましに騙されないよう強調しました。
被害を受けたユーザー向けのさらなるガイドラインは、調査結果が確定し適切な対策が特定された後に提供される予定です。Unleashは現時点で特定の是正措置や補償プログラムを発表しておらず、これは今後の検討事項となっています。
透明性と説明責任へのコミットメント
Unleash Protocolチームは声明を発表し、本インシデントがユーザーやパートナーに影響を与えたことを認め、この状況を極めて深刻に受け止めていると述べました。スタッフは、さらなる情報が得られ次第、オープンなコミュニケーションチャネルと責任ある情報開示を維持する姿勢を再確認しました。
本インシデントは、分散型プロトコルのガバナンスおよび管理コントロールの継続的な脆弱性を浮き彫りにしましたが、Unleashはこの対応を信頼とセキュリティ体制強化のための重要な措置として位置付けています。今後も調査の進展に応じて追加の発表が行われる予定です。
