Hack protokołu Unleash: 3,9 mln dolarów skradziono z powodu naruszenia zasad zarządzania Multisig

Protokół Unleash, pozycjonujący się jako uniwersalne rozwiązanie do zarządzania własnością intelektualną (IP) i rynkiem pieniężnym oparte na protokole Story, padł ofiarą ataku hakerskiego, który poniósł straty w wysokości około 3,9 miliona dolarów. Zespół projektowy poinformował o tym w oficjalnym komunikacie na platformie X, a informację potwierdzili niezależni analitycy z PeckShield.

Według danych śledztwa, atakujący uzyskał kontrolę administracyjną nad inteligentnymi kontraktami Unleash za pośrednictwem portfela multisig, co umożliwiło mu przeprowadzenie nieautoryzowanej aktualizacji kontraktu. Otworzyło to drogę do wypłaty aktywów, w tym WIP, USDC, WETH, stIP i vIP. Po ataku środki zostały przeniesione za pośrednictwem infrastruktury zewnętrznej i przelane na adresy zewnętrzne. W szczególności haker przelał 1337,1 ETH na protokół Tornado Cash w celu anonimizacji transakcji, co komplikuje dalsze śledzenie.

Zespół Unleash natychmiast zawiesił wszystkie operacje protokołu, aby zapobiec dalszym zagrożeniom i rozpoczął współpracę z niezależnymi ekspertami ds. bezpieczeństwa i kryminalistyki. Podkreślili oni, że incydent dotyczył wyłącznie kontraktów Unleash i nie miał wpływu na infrastrukturę protokołu Story, walidatory ani inne powiązane elementy.

„Traktujemy ten incydent z najwyższą powagą i zdajemy sobie sprawę z jego wpływu na naszych użytkowników i partnerów. Naszym priorytetem jest pełne zrozumienie sytuacji, transparentna komunikacja i ustalenie środków naprawczych” – czytamy w oficjalnym oświadczeniu.

PeckShield wskazuje, że atak nastąpił z powodu luki w zabezpieczeniach systemu zarządzania i uprawnień, w szczególności mechanizmu multisig, który miał zapewnić zdecentralizowane podejmowanie decyzji. To nie pierwszy przypadek, w którym multisig staje się słabym punktem: podobne ataki odnotowano w innych projektach DeFi, gdzie kluczowe naruszenia doprowadziły do znacznych strat. Według raportów branżowych, w 2025 roku łączne straty z ataków hakerskich na DeFi przekroczyły już 1 miliard dolarów, a głównymi czynnikami są luki w zabezpieczeniach systemu zarządzania i aktualizacji kontraktów.

Społeczność zareagowała niejednoznacznie: niektórzy użytkownicy X nazywają incydent „oszustwem” i podważają wiarygodność projektu, podczas gdy inni wzywają do wzmocnienia środków bezpieczeństwa w zarządzaniu. W momencie pisania tego artykułu token protokołu nie odnotował znaczącego spadku, ponieważ Unleash nie posiada własnego płynnego tokena na otwartych rynkach, ale może to wpłynąć na zaufanie do całego ekosystemu Story Protocol.

Zespół obiecuje przekazać aktualizacje po zakończeniu dochodzenia i zaleca użytkownikom powstrzymanie się od interakcji z kontraktami Unleash do czasu oficjalnego ogłoszenia. Ta sprawa po raz kolejny przypomina nam o znaczeniu audytów, rotacji kluczy w multisig oraz korzystania z narzędzi takich jak Revoke.cash do zarządzania uprawnieniami w celu minimalizacji ryzyka w DeFi.