事件の概要:Unleash Protocolから390万ドルが流出
分散型知的財産プラットフォームであるUnleash Protocolは、不正なコントラクトアップグレードにより、およそ390万ドル(約5億7千万円)相当の仮想通貨を失いました。同プロジェクトのチームによると、攻撃者はUnleashのマルチシグガバナンスの管理者権限を取得し、許可されていない資産の引き出しを実行しました。
同社は公開声明で、「初期調査の結果、外部所有のアドレスがUnleashのマルチシグガバナンスを通じて管理権限を獲得し、不正なコントラクトアップグレードを実行したことが判明した」と述べています。このアップグレードにより、Unleashチームが承認しておらず、意図されたガバナンスおよび運用手順外で資産の引き出しが可能になりました。
Unleash Protocolとは
Unleash Protocolは、知的財産(IP)をオンチェーン資産(トークン)に変換し、DeFiエコシステム内で担保として利用できるようにすることで、IPを管理するオペレーティングシステムとして説明されています。スマートコントラクトを通じて収益化レイヤーを提供し、オンチェーンルールに従って、事前に定義されたステークホルダーにライセンス料とロイヤリティ収入を自動的に分配します。
流出した資産と経路
攻撃者は、不正なスマートコントラクトアップグレードを実行することで、引き出し機能を解除し、WIP(Wrapped IP)、USDC、WETH(Wrapped Ether)、stIP(Staked IP)、vIP(Voting-escrowed IP)といった資産を盗み出しました。ブロックチェーンセキュリティの専門家であるPeckShieldAlertの報告によると、この不正な流出による損失は、およそ390万ドルに相当します。
資産は引き出し後、トレーサビリティを低下させるために、サードパーティのインフラを経由して外部のアドレスに送金されました。PeckShieldAlertは、攻撃者が盗んだ金額を1,337 ETHの形で仮想通貨ミキシングサービスであるTornado Cashに入金したと報告しています。
Tornado Cashの利用
Tornado Cashは、2022年に米国によって制裁を受け、北朝鮮のハッキンググループによる資金洗浄に利用されたとして2025年に上場廃止されたサービスです。ユーザーは、仮想通貨を難読化メカニズムを通じてルーティングし、新しい追跡不可能なウォレットに引き出すことができます。公開ブロックチェーン上での取引プライバシーを提供するために設計されたものですが、サイバー犯罪者によって、法執行機関の追跡や資産凍結の取り組みを回避するために悪用されてきました。
Unleash Protocolの対応
今回の事件を受けて、Unleash Protocolは全ての運用を一時停止し、外部のセキュリティ専門家の協力を得て、エクスプロイトの根本原因を特定するための調査を開始しました。同時に、修復と復旧の措置を評価しています。それまでの間、Unleash Protocolは公式チャンネルで安全であると発表するまで、ユーザーに対してUnleash Protocolのコントラクトとのやり取りを避けるよう助言しています。