Unleash Protocol ha verificado que ocurrió una grave brecha de seguridad debido a una acción no autorizada en sus smart contracts, lo que resultó en el retiro y transferencia de fondos de los usuarios. Este incidente fue identificado más temprano hoy y ya llevó a la suspensión automática de todas las operaciones de Unleash Protocol mientras el equipo intenta contener el problema y determinar su causa.
En una notificación oficial emitida por el equipo de Unleash, se informó que el ataque se inició a través de la gobernanza y la estructura de permisos del protocolo. Las primeras indicaciones señalan que una dirección externa también logró obtener control administrativo mediante la estructura de gobernanza multisig de Unleash. Con este acceso, el atacante realizó una actualización no autorizada del contrato que permitió retiros más allá de los procesos habituales de gobernanza y operación del proyecto.
Actualización no autorizada de contrato permitió retiros de activos
Se informó que la actualización hackeada permitió la extracción de varios recursos almacenados en los smart contracts de Unleash Protocol. Los activos que se consideran afectados hasta el momento de la investigación son WIP, USDC, WETH y los tokens relacionados con el staking, que son stIP y vIP. Los retiros se realizaron a través de infraestructura de terceros, después de lo cual los activos fueron transferidos a direcciones externas, lo que dificulta su recuperación inmediata.
Unleash también recalcó que estas acciones no fueron autorizadas por el equipo central, pero ocurrieron dentro de los controles de gobernanza, completamente de manera no intencionada. Según la dirección del protocolo, el incidente puede describirse como una falla crítica en los mecanismos de protección administrativa, pero no como un ataque a la infraestructura en general.
El alcance del impacto parece limitado
En su primera evaluación, el equipo de Unleash Protocol escribió que no se encontró evidencia de compromiso en los contratos de Story Protocol, validadores o infraestructura subyacente hasta el momento. El efecto parece estar limitado a los contratos específicos de Unleash y a las restricciones administrativas, lo que indica que el problema no se extendió al ecosistema más amplio.
Sin embargo, el equipo advirtió que la investigación aún está en curso y que antes de divulgar cualquier conclusión, todos los hallazgos serán confirmados. Los datos on-chain del incidente están siendo preservados para facilitar la investigación forense que se utilizará en los informes subsiguientes.
Respuesta de emergencia e investigación en curso
Unleash Protocol detuvo todas las operaciones como medida de respuesta para garantizar que la exposición de sus usuarios y otros activos no se viera aún más comprometida. El equipo ahora está colaborando mano a mano con expertos independientes en seguridad e investigadores forenses para establecer cómo se obtuvo el control administrativo y si existen otras vulnerabilidades.
La actividad de los firmantes multisig, las prácticas clave de gestión y los procesos de gobernanza están siendo revisados a fondo. Unleash Protocol también verificó que se ha sincronizado con socios del ecosistema y proveedores de infraestructura, especialmente aquellos relacionados con puentes y enrutamiento de transacciones, para rastrear los flujos de fondos e identificar posibles medidas de mitigación.
Guía para usuarios y medidas de seguridad
Unleash ha recomendado a los usuarios evitar interactuar con cualquier contrato de Unleash Protocol hasta nuevo aviso. El equipo también enfatizó que las personas solo deben confiar en los canales oficiales de comunicación para obtener información actualizada y no caer en trampas de desinformación o suplantación que suelen seguir a incidentes de alto perfil.
Más directrices para los usuarios afectados estarán disponibles una vez que se confirmen los resultados de la investigación y se identifiquen las medidas correctas. Unleash aún no ha anunciado ningún programa específico de remediación o compensación en este momento, ya que esto sigue bajo consideración.
Compromiso con la transparencia y la responsabilidad
El equipo de Unleash Protocol emitió un comunicado reconociendo que el incidente afectó a usuarios y socios, y que la situación se está tomando con el máximo nivel de seriedad. El personal reafirmó su deseo de mantener un canal de comunicación abierto y divulgación responsable a medida que haya más información disponible.
Aunque el incidente pone de manifiesto las vulnerabilidades persistentes en los controles de gobernanza y administración de los protocolos descentralizados, Unleash ha planteado esta respuesta como una medida vital para reforzar la confianza y su postura de seguridad. Se brindarán más novedades con el avance de la investigación.
