Resumen
Un fallo de gobernanza en Unleash Protocol permitió a un atacante robar $3.9 millones sin comprometer la blockchain subyacente ni generar alarmas inmediatas.
El atacante explotó el sistema multisig para ejecutar una actualización de contrato no autorizada, eludiendo controles y moviendo fondos directamente.
Después del ataque, los fondos fueron fragmentados y enviados a Tornado Cash. Unleash pausó operaciones y está revisando sus procesos de gobernanza y prácticas de gestión clave.
Un fallo de gobernanza en Unleash Protocol permitió a un atacante robar $3.9 millones en fondos de usuarios. El incidente no comprometió la blockchain subyacente ni a los validadores de Story Protocol, pero destacó cómo las vulnerabilidades en la administración de contratos pueden llevar a pérdidas significativas.
Cómo Funcionó el Ataque
El ataque se originó en el sistema multisig de Unleash. El atacante obtuvo permisos administrativos que normalmente requieren aprobación de firmantes autorizados y los utilizó para ejecutar una actualización de contrato no autorizada. Este cambio alteró cómo se procesaban los retiros, eludiendo cualquier control de gobernanza y permitiendo al atacante mover fondos directamente fuera del protocolo.
Los activos afectados incluyeron WIP, USDC, WETH, stIP y vIP. Todos los retiros ocurrieron a través del contrato alterado en lugar de interacciones normales de usuarios. Después de la extracción, los fondos fueron transferidos a Ethereum y divididos en múltiples transacciones. Un total de 1,337.1 ETH fue depositado en Tornado Cash, un intento deliberado de oscurecer la pista y dificultar la monitorización en cadena.
Unleash respondió de inmediato al pausar todas las operaciones para prevenir más pérdidas. El equipo ahora está trabajando con expertos forenses y de seguridad para entender cómo se eludieron las protecciones de gobernanza. Están revisando la actividad de los firmantes multisig, la gestión de claves y los procesos de administración de contratos internos. Se aconsejó a los usuarios no interactuar con los contratos hasta que se emitan más instrucciones oficiales.
Los sistemas de gobernanza pueden convertirse en puntos de debilidad. Incluso si las cadenas de bloques base son seguras, la gestión de permisos y las actualizaciones de contratos en aplicaciones descentralizadas siguen siendo vulnerables. Los controles internos, los procedimientos de actualización de contratos y la supervisión de firmantes son tan críticos como la seguridad de la red subyacente.
Unleash Continúa Investigando
Unleash también enfatizó que la investigación sigue en curso y que cualquier conclusión final será comunicada a través de canales oficiales. Este episodio subraya que la descentralización no garantiza inherentemente la seguridad. La gobernanza débil, las actualizaciones no supervisadas y los permisos concentrados pueden costar millones.
La seguridad depende no solo del código base sino del control y la gestión de cada capa de la aplicación. Sin supervisión activa, cualquier protocolo descentralizado puede convertirse en un objetivo fácil.
