- Un hacker drenó 1,337 ETH a través de la gobernanza multisig de Unleash comprometida.
- Los fondos robados fueron enviados a través de Tornado Cash para ocultar las pistas de las transacciones.
- La brecha se limita a Unleash, y la infraestructura del Protocolo Story no se ve afectada.
Recientemente, un hacker explotó el Protocolo Unleash y comenzó a blanquear los fondos robados mediante el servicio de privacidad Tornado Cash, según informes de empresas de seguridad de datos. El atacante está intentando ocultar la pista de aproximadamente 1,337 ETH, equivalentes a cerca de 4 millones de dólares, que fueron drenados de Unleash a principios de esta semana.
Exploit en Unleash Protocol: la brecha de seguridad identificada
El equipo de Unleash confirmó el martes que había sufrido una violación de seguridad significativa, resultando en pérdidas aproximadas de 3.9 millones de dólares. En respuesta, el protocolo suspendió sus operaciones e inició una investigación forense.
Según Unleash, los resultados preliminares indican que una cartera gestionada por entidades externas logró un control administrativo no autorizado sobre el protocolo a través de su sistema de gobernanza multisig.
El atacante realizó posteriormente una actualización no autorizada del contrato, permitiendo la retirada de fondos de los usuarios sin las aprobaciones necesarias. «Esta actualización permitió la extracción de activos que no habían sido aprobados por el equipo de Unleash y que ocurrieron al margen de nuestros procedimientos de gobernanza y operaciones», señaló el equipo en un comunicado.
Analistas de seguridad sugieren que esta brecha podría haber resultado de un ataque de phishing o de otra forma de ingeniería social, que permitió al atacante conseguir el control de las claves de gobernanza, eludiendo así las salvaguardas estándar.
Mezclando los activos robados
Los activos sustraídos incluían supuestamente tokens Wrapped IP (WIP), USDC, Wrapped Ether (WETH), stIP y vIP. El análisis en cadena indica que la mayoría de estos activos fueron inicialmente transferidos a Ethereum, luego consolidados en ETH y finalmente enviados a través de Tornado Cash, una táctica comúnmente utilizada por hackers para obstaculizar el seguimiento y la recuperación de los fondos.
CertiK, una firma de análisis de seguridad, reportó que detectó inicialmente retiradas sospechosas de tokens WETH que fueron enviadas a una dirección de terceros creada a través de SafeProxyFactory, un marco popular de contratos inteligentes para carteras multisig.
Confirmaciones de Unleash sobre la seguridad del ecosistema
Unleash subrayó que la violación se limita a su propia gobernanza y sus contratos administrativos. El equipo de Unleash declaró que actualmente no hay evidencia de que el Protocolo Story, la blockchain de nivel 1 sobre la cual se construyó Unleash, haya sido comprometido.
«El impacto parece estar limitado a los contratos específicos de Unleash y los controles administrativos», aseguró el equipo, añadiendo que los validadores, la infraestructura central y los contratos del Protocolo Story permanecen intactos.
Unleash es una de las aplicaciones más destacadas dentro del ecosistema del Protocolo Story, que se centra en la propiedad intelectual tokenizada y la gestión de derechos de propiedad en la cadena de bloques. PIP Labs, la empresa detrás del Protocolo Story, ha recaudado aproximadamente 140 millones de dólares en fondos de inversores clave.
Usuarios advertidos mientras continúa la investigación
El equipo de Unleash ha instado a los usuarios a no interactuar con el protocolo mientras se lleva a cabo la investigación, y ha indicado que proporcionará actualizaciones sobre el incidente y potenciales medidas de remediación a medida que surjan más detalles verificados.
Hasta el momento, Unleash no ha especificado si tiene intención de llevar a cabo esfuerzos de recuperación de fondos o compensaciones para los usuarios afectados, y el uso de Tornado Cash por parte del hacker podría complicar considerablemente cualquier intento de rastreo o recuperación de los activos sustraídos.
