Platform decentralized intellectual property (IP) bernama Unleash Protocol dilaporkan kehilangan sekitar $3,9 juta aset kripto setelah peretas berhasil melakukan upgrade smart contract tanpa izin yang membuka akses penarikan dana.
Dalam pengumuman resminya, tim Unleash Protocol menyatakan bahwa penyerang berhasil memperoleh kekuatan tanda tangan yang cukup untuk bertindak sebagai administrator dalam sistem multisig governance proyek tersebut.
Multisig Dibajak, Smart Contract Diubah Tanpa Izin
Menurut hasil investigasi awal Unleash Protocol:
- Sebuah externally owned address (EOA) berhasil mengambil alih kontrol administratif
- Penyerang melakukan upgrade kontrak pintar tanpa persetujuan tim
- Upgrade tersebut memungkinkan penarikan aset di luar prosedur governance resmi
Tim Unleash menegaskan bahwa tindakan tersebut sepenuhnya berada di luar mekanisme operasional yang dirancang.
Apa Itu Unleash Protocol?
Unleash Protocol berfungsi sebagai sistem operasi untuk pengelolaan kekayaan intelektual (IP) dengan cara:
- Mengonversi IP menjadi aset on‑chain (token)
- Memungkinkan IP digunakan sebagai jaminan dalam ekosistem DeFi
- Menyediakan lapisan monetisasi melalui smart contract
- Mendistribusikan royalti dan lisensi secara otomatis ke pemangku kepentingan
Aset yang Dicuri & Nilai Kerugian
Dengan memanfaatkan kontrak yang telah dimodifikasi, penyerang mencuri berbagai aset, termasuk:
- WIP (wrapped IP)
- USDC
- WETH (wrapped Ether)
- stIP (staked IP)
- vIP (voting‑escrowed IP)
Menurut analis keamanan blockchain PeckShieldAlert, total kerugian diperkirakan mencapai $3,9 juta.
Dana Dicuci Lewat Tornado Cash
Setelah penarikan, aset hasil curian:
- Dipindahkan melalui infrastruktur bridge pihak ketiga
- Dikirim ke alamat eksternal untuk mengurangi jejak transaksi
- Disetor ke Tornado Cash dalam bentuk 1.337 ETH
Tornado Cash sendiri merupakan layanan mixing kripto yang:
- Disanksi oleh pemerintah AS pada 2022
- Dihapus dari berbagai platform pada 2025
- Dikenal sering digunakan untuk pencucian dana hasil peretasan, termasuk oleh kelompok peretas Korea Utara
Respons Unleash Protocol
Sebagai respons atas insiden ini, Unleash Protocol:
- Menghentikan seluruh operasional sementara
- Meluncurkan investigasi bersama pakar keamanan eksternal
- Mengevaluasi langkah pemulihan dan mitigasi kerugian
Pengguna juga diimbau untuk tidak berinteraksi dengan kontrak Unleash Protocol hingga ada pengumuman resmi bahwa sistem telah aman.
Kesimpulan
Insiden ini kembali menyoroti risiko besar pada sistem multisig governance dan pentingnya pengamanan kontrol administratif dalam proyek DeFi. Meski multisig dirancang untuk meningkatkan keamanan, kompromi pada mekanisme tanda tangan tetap dapat berujung pada kerugian besar jika tidak diawasi dengan ketat.