Falha de governança resulta em violação de segurança
Uma falha de governança no Unleash Protocol resultou em uma violação de segurança significativa, com atacantes drenando aproximadamente US$ 3,9 milhões em fundos de usuários.
O incidente foi inicialmente identificado pela empresa de segurança blockchain PeckShieldAlert e, posteriormente, confirmado pela equipe do Unleash.
Embora a exploração não tenha afetado o ecossistema Story mais amplo, trouxe à tona a importância de mecanismos de governança que podem se tornar um ponto crítico de falha em finanças descentralizadas.
Atualização de contrato não autorizada
- Uma atualização de contrato não autorizada permitiu retiradas diretas do protocolo.
- Os fundos foram transferidos para Ethereum e lavados por meio do Tornado Cash.
- Os ativos afetados incluíram WIP, USDC, WETH, stIP e vIP.
Detalhes do Unleash Protocol
O Unleash Protocol é uma plataforma descentralizada baseada no Story Protocol. O projeto afirmou que o incidente foi restrito a seus próprios contratos e controles administrativos, sem sinais de comprometimento entre os validadores ou a infraestrutura central do Story Protocol. Mesmo assim, o evento demonstra como vulnerabilidades em nível de aplicação podem levar a perdas significativas.
Controles de governança burlados
A análise on-chain indica que o atacante mirou no sistema de governança multi-assinatura do Unleash Protocol. Ao explorar fraquezas na aplicação das permissões administrativas, o atacante obteve acesso não autorizado normalmente reservado para signatários aprovados.
Esse acesso foi utilizado para implementar uma atualização de contrato que não havia sido sancionada pela equipe central.
A atualização não autorizada alterou a forma como o protocolo lidava com retiradas. Com as verificações de governança padrão efetivamente ignoradas, o atacante foi capaz de remover fundos diretamente do protocolo. Segundo o Unleash, essas ações ocorreram fora de sua estrutura de governança estabelecida e não foram detectadas até que os fundos já tivessem sido removidos.
Lavagem por meio de pontes e misturadores
Após extrair os ativos, o atacante transferiu os fundos para Ethereum. De lá, os ativos foram divididos em várias transações, uma estratégia frequentemente utilizada para dificultar o rastreamento.
Dados da blockchain mostram que 1.337,1 ETH foram posteriormente depositados no Tornado Cash. Os depósitos foram feitos em tamanhos variados, indo desde pequenas transferências até lotes de até 100 ETH. Este padrão sugere uma tentativa deliberada de obscurecer as trilhas de transação e reduzir a eficácia das ferramentas de monitoramento on-chain.
Tokens impactados
Em um aviso oficial sobre o incidente, o Unleash Protocol confirmou que vários ativos foram afetados durante a exploração. Esses ativos incluíram WIP, USDC, WETH, stIP e vIP.
A equipe reiterou que todas as retiradas afetadas ocorreram por meio da atualização de contrato não autorizada, em vez de interações normais dos usuários. A clareza de que o Story Protocol em si não foi comprometido é significativa, indicando que a violação decorreu do design interno de governança do Unleash, e não de falhas na blockchain subjacente ou no seu conjunto de validadores.
Medidas de emergência adotadas
Após a confirmação da violação, o Unleash Protocol suspendeu todas as operações da plataforma para evitar novas perdas. A equipe declarou que está trabalhando com especialistas em segurança independentes e investigadores forenses para determinar como os salvaguardas de governança foram burladas e se outras vulnerabilidades permanecem.
Os usuários foram aconselhados a evitar interações com os contratos do Unleash Protocol até que novas atualizações sejam emitidas. O projeto afirmou que futuras comunicações serão compartilhadas apenas por meio de canais oficiais enquanto a investigação prossegue.
Fonte: coinjournal.net