- Hacker do protocolo drenou 1.337 ETH através de uma governança multisig comprometida do Unleash.
- Os fundos roubados foram enviados através do Tornado Cash para obscurecer os rastros das transações.
- A violação é limitada ao Unleash, e a infraestrutura do Story Protocol não foi afetada.
Um invasor que recentemente explorou o Unleash Protocol começou a lavar os fundos roubados por meio do serviço de privacidade baseado em Ethereum, Tornado Cash, de acordo com dados on-chain e empresas de segurança em blockchain.
O atacante está tentando obscurecer a trilha de aproximadamente 1.337 ETH, avaliados em cerca de 4 milhões de dólares, drenados do Unleash no início desta semana.
Empresas de segurança, como PeckShield e CertiK, relataram que os fundos foram transferidos para Ethereum e divididos em vários lotes, geralmente em torno de 100 ETH cada, antes de serem depositados no Tornado Cash, um protocolo de mixagem de criptomoedas conhecido.
Exploração do Unleash devido a uma tomada de governança
O Unleash confirmou na terça-feira que sofreu uma violação de segurança significativa, resultando em perdas aproximadas de 3,9 milhões de dólares.
O protocolo suspendeu as operações e lançou uma investigação forense sobre o incidente.
De acordo com o Unleash, descobertas preliminares indicam que uma carteira externa ganhou controle administrativo não autorizado sobre o protocolo através de seu sistema de governança multisignature (multisig).
O atacante então executou uma atualização de contrato não autorizada que permitiu a retirada de fundos dos usuários sem as devidas aprovações.
“Essa atualização possibilitou retiradas de ativos que não foram aprovadas pela equipe do Unleash e ocorreram fora dos nossos procedimentos de governança e operacionais pretendidos”, afirmou a equipe em uma declaração postada no X.
Analistas de segurança sugerem que a violação pode ter sido resultado de phishing ou outra forma de engenharia social que permitiu ao invasor obter o controle das chaves de governança, efetivamente contornando as salvaguardas padrão.
Ativos roubados foram transferidos e misturados
Os ativos roubados teriam incluído Wrapped IP (WIP), USDC, Wrapped Ether (WETH), stIP e tokens vIP.
A análise on-chain mostra que a maioria desses ativos foi inicialmente transferida para Ethereum, depois consolidada em ETH e roteada através do Tornado Cash, uma abordagem comumente utilizada por hackers para dificultar o rastreamento e os esforços de recuperação.
A CertiK informou que inicialmente detectou retiradas suspeitas de WETH e tokens relacionados ao IP que foram enviados para um endereço de propriedade externa criado usando o SafeProxyFactory, um framework de contrato inteligente popular para carteiras multisig.
Detectamos depósitos de 1337,1 ETH (~$3,9M) no Tornado Cash a partir do endereço 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3.
Os fundos provêm de retiradas suspeitas de Wrapped ETH e tokens Story de uma multisig que pode ter sido comprometida.… pic.twitter.com/YIFEAEwilc
— CertiK Alert (@CertiKAlert) 30 de dezembro de 2025
Impacto limitado no ecossistema, afirma Unleash
O Unleash enfatizou que a violação foi restrita a seus próprios contratos de governança e administrativos.
A equipe do Unleash declarou que não há atualmente evidências de que o Story Protocol, a blockchain de camada 1 na qual o Unleash é construído, tenha sido comprometido.
“O impacto parece limitado a contratos específicos do Unleash e controles administrativos,” disse a equipe do Unleash, acrescentando que os validadores, a infraestrutura central e os contratos do Story Protocol permanecem inalterados.
O Unleash é uma das aplicações de maior perfil no ecossistema do Story Protocol, que se concentra em propriedade intelectual tokenizada e gerenciamento de IP on-chain.
A PIP Labs, a empresa por trás do Story Protocol, arrecadou cerca de 140 milhões de dólares em financiamento de investidores proeminentes.
Usuários alertados enquanto a investigação prossegue
A equipe do Unleash alertou os usuários para não interagirem com o protocolo enquanto a investigação está em andamento e afirmou que fornecerá atualizações sobre o incidente e possíveis medidas de remediação à medida que informações verificadas se tornem disponíveis.
Até o momento da redação, o Unleash não havia divulgado se planeja buscar esforços de recuperação de fundos ou compensação para os usuários afetados, e o uso do Tornado Cash pelo hacker pode complicar significativamente quaisquer tentativas de rastrear ou recuperar os ativos roubados.
Fonte: coinjournal.net
