Unleash Protocol은 자사 스마트 계약과 관련된 무단 활동으로 인해 사용자 자금이 인출 및 이체된 사실을 공개했습니다. CertiK Alert의 조사 결과, Unleash Protocol 취약점 공격 이후 이더리움이 Tornado Cash로 입금된 것으로 밝혀졌습니다.
Unleash Protocol은 멀티시그(multisig) 취약점을 조사하고 있습니다.
CertiK Alert는 X 플랫폼에서 약 390만 달러 상당의 1,337.1 이더리움(ETH) 가 Tornado Cash로 이체된 것을 감지했다고 밝혔습니다 . 해당 플랫폼은 지갑 주소 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3에서 발생한 이체를 확인했습니다.
CertiK Alert는 해당 자금이 멀티시그 계정의 보안이 손상되었을 가능성이 있는 상황에서 Wrapped 이더리움(ETH) 와 Story 토큰이 의심스럽게 인출된 것과 관련이 있다고 덧붙였습니다.
이 보고서는 언리쉬 프로토콜(Unleash Protocol)이 사용자 자금 손실을 초래한 악용 사례를 조사하고 있다고 발표한 직후에 나왔습니다.
#CertiKInsight 🚨
— CertiK Alert (@CertiKAlert) 2025년 12월 30일
저희는 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3 주소에서 Tornado Cash로 1337.1 이더리움(ETH) (약 390만 달러)가 입금된 것을 확인했습니다.
해당 자금은 멀티시그 계정에서 발생한 것으로 추정되는 Wrapped 이더리움(ETH) 와 Story 토큰의 의심스러운 인출과 관련이 있으며, 해당 계정이 해킹당했을 가능성이 있습니다.… pic.twitter.com/YIFEAEwilc
Unleash Protocol 팀은 초기 조사 결과 외부 소유 주소가 멀티시그 거버넌스를 통해 관리자 권한을 획득한 것으로 나타났다고 밝혔습니다.
공격 이후, 공격자들은 무단으로 계약 업그레이드를 진행하여 자산을 무단으로 인출할 수 있게 되었습니다. 이는 Unleash의 의도된 관리 및 운영 절차를 벗어난 행위입니다.
영향을 받은 자산에는 WIP, USDC, WETH, stIP 및 vIP가 포함됩니다. 공격자들은 인출 후 제3자 인프라를 이용하여 이러한 자산을 브릿징한 다음 외부 주소로 전송했습니다.
Unleash는 어떻게 이 취약점을 관리하고 있을까요?
언리쉬 프로토콜 팀은 발표에서 스토리 프로토콜 계약, 검증자 또는 기본 인프라가 침해당했다는 증거는 없다고 밝혔습니다. 또한 영향은 언리쉬 관련 계약 및 관리 제어에만 국한된 것으로 보인다고 덧붙였습니다.
하지만 해당 팀은 조사가 아직 진행 중이며 최종 공개 전에 모든 결론을 확인할 것이라고 사용자들에게 확신시켰습니다.
추가적인 위험을 방지하기 위해 Unleash Protocol의 모든 운영을 중단했습니다. 또한, 팀은 근본 원인을 파악하기 위해 독립적인 보안 전문가 및 포렌식 조사관과 긴밀히 협력하고 있다고 밝혔습니다.
이는 다중 서명자 활동, 주요 관리 관행 및 거버넌스 프로세스에 대한 전면적인 검토를 수행하는 것 외에 추가적으로 이루어지는 것입니다.
따라서 사용자는 Unleash Protocol 계약과의 상호 작용을 자제하고 정확한 업데이트를 위해 Unleash의 공식 커뮤니케이션 채널만 이용하시기 바랍니다.
특히, 언리쉬(Unleash) 멀티시그 취약점은 최근 발생한 암호화폐 도난 사건 중 가장 최근의 사례일 뿐입니다. U.Today 보도 에 따르면, 한 암호화폐 사용자가 최근 주소 스푸핑 사기로 5천만 테더 USDT(USDT) 잃었습니다.
이번 공격에 앞서 일부 공격자들은 XWiki와 DELMIA Apriso의 보안 취약점을 악용했습니다 . 그 결과, 공격자들은 허가 없이 모네로(Monero) (모네로(XMR)) 암호화폐를 채굴했습니다.
최근 또 다른 사기 사건에서 악의적인 행위자들이 탈중앙화 금융(DeFi) 프로젝트인 하이퍼드라이브(Hyperdrive)에서 77만 3천 달러 상당의 암호화폐를 훔쳤습니다 .
