Unleash Protocol Mengalami Eksploitasi sebesar $3.9M: Bagaimana Penyerang Mengalihkan Dana Curian Melalui Tornado Cash

Platform pembiayaan kekayaan intelektual yang dibangun di atas ekosistem Story telah menjadi korban terbaru dari pelanggaran keamanan yang signifikan. Unleash Protocol kehilangan sekitar $3,9 juta dalam aset setelah seorang penyerang mengalihkan dana curian melalui Tornado Cash, layanan pencampuran cryptocurrency yang dirancang untuk menyembunyikan jejak transaksi. Insiden ini menyoroti kerentanan kritis dalam sistem tata kelola, meskipun proyek blockchain semakin canggih dalam infrastruktur teknis mereka.

Menurut perusahaan keamanan blockchain PeckShield, penyerang memanfaatkan kegagalan tata kelola daripada cacat teknis dalam protokol dasar. Pelanggaran terjadi ketika sebuah alamat eksternal memperoleh kendali administratif tanpa izin melalui mekanisme tata kelola multisignature Unleash, memungkinkan penyerang untuk mendorong peningkatan kontrak pintar yang tidak sah yang melewati prosedur persetujuan yang telah ditetapkan.

Jalur Serangan: Kegagalan Tata Kelola di Unleash

Masalah inti bukanlah kerentanan di Story Protocol itu sendiri, tetapi dalam bagaimana Unleash menerapkan struktur tata kelolanya. Sebuah alamat yang dimiliki secara eksternal entah bagaimana memperoleh otoritas penandatanganan dalam sistem dompet multisignature—sebuah kegagalan keamanan kritis untuk platform terdesentralisasi mana pun. Setelah masuk ke lapisan tata kelola, penyerang dapat mengotorisasi transaksi yang biasanya memerlukan persetujuan komunitas.

Kontrol tidak sah ini memungkinkan penyerang untuk mengeksekusi penarikan aset yang melanggar prosedur yang telah ditetapkan protokol. Beberapa jenis token menjadi korban eksploitasi, termasuk token WIP, USDC, WETH, stIP, dan vIP yang disimpan dalam kontrak pintar Unleash. Pencurian ini menunjukkan bagaimana kegagalan tata kelola bisa lebih berbahaya daripada kerentanan kode, karena mereka mengeksploitasi asumsi kepercayaan yang dibangun dalam desain sistem.

Dana Dialihkan Melalui Layanan Pencampuran

Setelah pencurian awal, penyerang dengan cepat bergerak untuk menyembunyikan jejak transaksi. Aset yang dicuri dipindahkan ke Ethereum melalui infrastruktur jembatan pihak ketiga, setelah itu 1.337,1 ETH (yang saat ini bernilai sekitar $2,36K per token) disetor ke Tornado Cash. Dengan dialihkan melalui layanan pencampuran ini, penyerang berusaha memecah riwayat transaksi di blockchain dan membuat pelacakan dana menjadi jauh lebih sulit bagi penyelidik.

Pilihan Tornado Cash mengungkap pola umum dalam eksploitasi cryptocurrency: penyerang memprioritaskan anonimitas dan jarak antara titik pencurian dan tujuan akhir. Sementara perusahaan analitik on-chain seperti LookonChain dapat melacak transaksi hingga titik masuk layanan pencampuran, mengikuti dana melalui Tornado Cash memerlukan pendekatan investigasi yang berbeda dan sering melibatkan sumber daya penegak hukum.

Memahami Posisi Unleash dalam Ekosistem

Unleash Protocol beroperasi di ruang pembiayaan kekayaan intelektual yang sedang berkembang, bekerja untuk men-tokenisasi aset kreatif seperti hak media, kepemilikan merek, dan karya kreatif digital. Aset ini kemudian dapat dilisensikan, diperdagangkan, atau digunakan sebagai jaminan dalam aplikasi terdesentralisasi. Posisi platform ini di atas Story Protocol mencerminkan infrastruktur yang semakin berkembang untuk pengelolaan kekayaan intelektual di atas chain.

Pengakuan bahwa pelanggaran ini disebabkan oleh kegagalan tata kelola dan bukan kelemahan teknis adalah hal yang penting. Arsitektur inti Story Protocol tetap utuh, menunjukkan bahwa masalahnya terletak pada bagaimana proyek-proyek individu membangun lapisan administratif mereka di atas protokol. Perbedaan ini penting bagi pengguna aplikasi berbasis Story lainnya yang mempertimbangkan apakah akan tetap berada di platform.

Tanggapan dan Penyidikan Berkelanjutan

Setelah menemukan aktivitas tidak sah, Unleash Protocol segera menghentikan semua operasi sambil bekerja sama dengan ahli keamanan independen dan penyelidik forensik untuk menentukan akar penyebabnya. Platform ini menyarankan pengguna untuk berhenti berinteraksi dengan kontrak pintarnya dan memantau saluran komunikasi resmi untuk pembaruan.

Respons terkoordinasi ini—menggabungkan penyelidikan teknis dengan keahlian keamanan pihak ketiga—mengikuti praktik terbaik dalam manajemen insiden di ruang blockchain. Namun, kerugian sebesar $3,9 juta menegaskan kenyataan yang tidak nyaman: bahkan dengan audit keamanan dan struktur tata kelola profesional, platform terdesentralisasi tetap rentan terhadap eksploitasi teknis dan manipulasi tata kelola.

Insiden ini menjadi pengingat bahwa keamanan blockchain jauh melampaui kode kontrak pintar. Sistem tata kelola, prosedur administratif, dan kontrol akses memerlukan perhatian yang sama saat penilaian keamanan. Seiring industri terus berkembang, fokus pada keamanan tata kelola mungkin sama pentingnya dengan audit kontrak pintar tradisional.