Unleash Protocol perdió 3,9 millones de USD: El ataque multisig y el camino de las fondos de salida

Recientemente, la empresa de seguridad blockchain PeckShield ha detectado un incidente de seguridad grave en Unleash Protocol, una plataforma de aplicaciones descentralizadas desarrollada sobre la infraestructura de Story Protocol. Según el informe, aproximadamente 3,9 millones de dólares en fondos de usuarios fueron robados por un atacante, y posteriormente los fondos fueron siphonados a Ethereum antes de continuar “desnudándose” mediante herramientas anónimas.

Cómo se llevó a cabo el ataque

PeckShield reveló que el atacante apuntó directamente al sistema de gestión multisig de Unleash Protocol. Al controlar las claves de gestión, el intruso pudo desplegar una actualización del contrato inteligente sin necesidad de aprobación del equipo principal. Esto representa un error de diseño grave en los mecanismos de protección del protocolo.

Tras la actualización del contrato, el atacante procedió a retirar activos directamente de Unleash Protocol. El valor total de los activos sustraídos alcanzó los 3,9 millones de dólares.

Proceso de ocultación de rastros y salida de fondos

Un detalle notable en este ataque es cómo el atacante manejó los fondos robados. Los datos de blockchain muestran que el dinero fue transferido a la red Ethereum, y luego una gran cantidad —específicamente 1.337,1 ETH— fue enviada a Tornado Cash, un servicio de mezclado de fondos conocido por su capacidad para anonimizar transacciones en blockchain.

La estrategia de “desnude” del atacante se realizó en pequeñas etapas, desde envíos de unos pocos ETH hasta envíos de 100 ETH. Este enfoque escalonado está diseñado para reducir la probabilidad de detección y seguimiento en la cadena.

Activos afectados

En un comunicado oficial sobre el incidente, Unleash Protocol publicó una lista de tokens y activos retirados del protocolo:

• WIP
• USDC
• WETH
• stIP
• vIP

Todos estos retiros ocurrieron fuera de las reglas de gobernanza previamente aprobadas, sin ningún permiso interno del equipo.

Story Protocol sigue seguro

Un punto importante que enfatiza Unleash Protocol es que el ataque solo afectó a los contratos internos de Unleash y a su sistema de gobernanza. No hay evidencia de que la infraestructura central de Story Protocol, los nodos de validación o cualquier otro componente hayan sido comprometidos. Esto limita el alcance del daño y muestra que el problema reside en la capa de aplicación, no en la infraestructura base.

Respuesta y medidas correctivas

Tan pronto como se detectó la anomalía, Unleash Protocol decidió detener toda la actividad del protocolo para prevenir daños adicionales. El equipo está trabajando junto con expertos en seguridad independientes para realizar una investigación forense exhaustiva.

Los usuarios deben evitar interactuar con cualquier contrato de Unleash hasta que se emita un comunicado oficial posterior del equipo.

Preguntas frecuentes

¿Por qué fue comprometido el multisig de Unleash Protocol?
El informe no revela la causa específica, pero indica que el atacante logró controlar las claves de gestión, posiblemente a través de errores de configuración, negligencias de seguridad o vectores de ataque aún no conocidos.

¿Podrán los usuarios recuperar su dinero?
Por el momento, no está claro. Los fondos fueron enviados a Tornado Cash, lo que complica el rastreo y la recuperación. Esto dependerá del resultado de la investigación forense.

¿Afectaron otras plataformas?
No. El ataque se limitó a Unleash Protocol. Story Protocol y otros contratos en esta plataforma siguen operando normalmente.

¿Qué deben hacer los usuarios de Unleash?
Dejen de interactuar con cualquier contrato de Unleash hasta que haya una actualización oficial. Si tienen fondos bloqueados en el protocolo, esperen instrucciones del equipo sobre opciones de compensación o recuperación.