Unleash Protocol adalah platform manajemen kekayaan intelektual (IP) terdesentralisasi yang bertindak sebagai sistem operasi untuk mengubah aset IP menjadi token di dalam blockchain. Protokol ini memungkinkan IP digunakan sebagai jaminan di ekosistem DeFi melalui smart contract yang mengatur distribusi royalti dan lisensi secara otomatis kepada para pemangku kepentingan.
Secara teknis, Unleash Protocol ini punya peran yang lumayan krusial buat menghubungkan hak cipta dunia nyata dengan ekosistem kripto. Mereka menggunakan lapisan monetisasi melalui smart contract untuk memastikan kalau pembayaran royalti itu jalan otomatis sesuai aturan on-chain yang sudah diprogram sebelumnya. Jadi, aset IP kalian nggak cuma diam, tapi bisa menghasilkan nilai ekonomi yang lebih likuid. Sayangnya, baru-baru ini ada kejadian yang cukup bikin geger karena protokol ini kehilangan sekitar $3,9 juta dalam bentuk kripto. Kejadian ini bermula gara-gara ada pihak nggak dikenal yang berhasil melakukan pembaruan kontrak (contract upgrade) tanpa izin.
Kalian perlu tahu kalau di dunia blockchain, pembaruan kontrak itu biasanya butuh persetujuan kolektif yang sangat ketat. Tapi dalam kasus ini, penyerang sepertinya berhasil dapetin akses kontrol administratif melalui sistem tata kelola multisig (tanda tangan ganda) milik Unleash. Tim investigasi mereka menemukan kalau ada alamat dompet eksternal (externally owned address) yang tiba-tiba punya kendali administratif, terus mereka langsung melakukan upgrade kontrak secara ilegal. Upgrade ini sebenernya jahat banget karena ngebuka fitur penarikan aset yang nggak disetujui tim dan terjadi di luar prosedur operasional yang seharusnya.
Gara-gara celah hasil modifikasi kontrak itu, si penyerang bisa dengan bebas mengambil berbagai jenis aset yang ada di dalamnya, kayak Wrapped IP (WIP), USDC, WETH (Wrapped Ether), Staked IP (stIP), sampai Voting-escrowed IP (vIP). Menurut laporan dari para ahli keamanan di PeckShieldAlert, total kerugiannya itu kalau dihitung-hitung mencapai angka $3,9 juta. Nggak cuma berhenti di situ saja, aset yang sudah ditarik langsung dipindahkan lewat infrastruktur pihak ketiga supaya jejaknya makin susah buat dilacak oleh siapa pun.
Kira-kiranya, penyerang ini sudah sangat paham cara kerja sistem privasi di blockchain. Mereka mengirim dana hasil curian tersebut ke Tornado Cash dalam bentuk 1.337 ETH. Buat yang belum tahu, Tornado Cash ini adalah layanan pencampur (mixing) kripto yang memang sering banget disalahgunakan peretas buat menyamarkan asal-usul dana sebelum ditarik ke dompet baru yang nggak bisa dilacak. Meskipun layanan ini sudah kena sanksi dari Amerika Serikat sejak tahun 2022, kayaknya peretas masih saja pakai cara ini buat menghindar dari upaya pembekuan aset oleh pihak berwajib.
Sebagai respons cepat, Unleash Protocol sekarang sudah menghentikan semua operasinya untuk sementara waktu. Mereka lagi sibuk menjalankan investigasi mendalam bareng pakar keamanan eksternal buat mencari tahu gimana ceritanya alamat dompet eksternal itu bisa menguasai multisig mereka. Sepertinya mereka juga lagi mengevaluasi langkah-langkah pemulihan apa yang bisa diambil buat para pengguna yang terdampak. Jadi, sebegitu bahayanya kalau sebuah protokol DeFi punya celah di sisi tata kelolanya.
Kejadian yang menimpa Unleash Protocol ini menjadi pengingat keras buat kita semua kalau keamanan dalam dunia DeFi itu masih sangat dinamis dan penuh risiko. Rasanya nggak bijak kalau kita langsung menaruh kepercayaan penuh pada satu protokol tanpa memantau perkembangan keamanannya secara berkala. Rekomendasi buat kalian yang punya aset di sana, mending jangan melakukan interaksi apa pun dulu dengan kontrak Unleash Protocol sampai ada pengumuman resmi kalau situasinya sudah benar-benar aman. Tetaplah waspada dan selalu lakukan riset mandiri sebelum memutuskan untuk menyimpan aset di platform apa pun. Semoga ke depannya standar keamanan sistem tata kelola multisig bisa diperketat lagi biar kejadian kayak gini nggak terulang terus. Terima kasih sudah membaca ulasan ini sampai selesai, rekan-rekanita.