Puntos clave de la noticia:
-
Un fallo de gobernanza en Unleash Protocol permitió que un atacante se llevara $3,9 millones, sin comprometer la blockchain ni levantar sospechas.
-
El atacante explotó el sistema multisig para ejecutar un upgrade de contrato no autorizado, eludiendo controles y moviendo fondos de forma directa.
-
Tras el ataque, los fondos fueron fragmentados y enviados a Tornado Cash; Unleash pausó operaciones y revisa sus procesos de gobernanza y gestión de claves.
Un fallo de gobernanza en Unleash Protocol permitió que un atacante se llevara $3,9 millones en fondos de los usuarios. El incidente no comprometió la blockchain subyacente ni a los validadores de Story Protocol, pero expuso cómo las vulnerabilidades en la administración de contratos pueden provocar pérdidas considerables.
¿Cómo Funcionó el Ataque?
El ataque se originó en el sistema multisig de Unleash. El atacante obtuvo permisos administrativos que normalmente requieren aprobación de signatarios autorizados y los usó para ejecutar un upgrade de contrato no autorizado. Este cambio modificó la forma en que se procesaban los retiros, eludiendo cualquier control de gobernanza y permitiéndole mover fondos directamente fuera del protocolo.
Los activos afectados incluyen WIP, USDC, WETH, stIP y vIP. Todos los retiros se realizaron mediante el contrato alterado y no a través de las interacciones habituales de los usuarios. Tras la extracción, los fondos fueron trasladados a Ethereum y fragmentados en múltiples transacciones. Se depositaron 1.337,1 ETH en Tornado Cash, un intento deliberado de ocultar su rastro y dificultar el monitoreo on-chain.
La reacción de Unleash fue inmediata: pausaron todas las operaciones para evitar más pérdidas y ahora trabajan con expertos forenses y de seguridad para entender cómo se evadieron las protecciones de gobernanza. Están revisando la actividad de los signatarios multisig, la gestión de claves y los procesos internos de administración de contratos. Los usuarios fueron advertidos de no interactuar con los contratos hasta recibir nuevas instrucciones oficiales.
Los sistemas de gobernanza pueden convertirse en puntos débiles. Aunque las blockchains base sean seguras, la administración de permisos y upgrades en aplicaciones descentralizadas sigue siendo vulnerable. Los controles internos, los procedimientos de actualización de contratos y la supervisión de signatarios son tan importantes como la seguridad de la red subyacente.
Unleash Sigue Investigando
Unleash también enfatizó que la investigación sigue abierta y que cualquier conclusión definitiva se comunicará mediante sus canales oficiales. No obstante, este episodio deja en claro que la descentralización no goza de ninguna libertad o privilegio en términos de seguridad. La gobernanza débil, los upgrades sin supervisión y la concentración de permisos pueden costar millones.
La seguridad no solo depende del código base, sino del control y la administración de cada capa de la aplicación, sin una vigilancia activa, cualquier protocolo descentralizado puede ser un blanco fácil.
