- Hacker Protocol va drenar 1.337 ETH mitjançant la governança multisig Unleash compromesa.
- Els fons robats s’han enviat a través de Tornado Cash per ocultar les pistes de transaccions.
- L’incompliment es limita a Unleash i la infraestructura del protocol d’història no es veu afectada.
Un pirata informàtic que recentment va explotar Unleash Protocol ha començat a blanquejar fons robats a través del servei de privadesa Tornado Cash basat en Ethereum, segons les empreses de seguretat de dades a la cadena i blockchain.
L’atacant està intentant ocultar el rastre d’aproximadament 1.337 ETH, valorats en prop de 4 milions de dòlars, esgotats d’Unleash a principis d’aquesta setmana.
Les companyies de seguretat PeckShield i CertiK han informat que els fons es van transferir a Ethereum i es van dividir en diversos lots, sovint al voltant de 100 ETH cadascun, abans de ser dipositats a Tornado Cash, un conegut protocol de barreja de criptografia.
La presa de control del govern va provocar l’explotació Unleash
Unleash va confirmar dimarts que havia patit una bretxa de seguretat important, que va suposar aproximadament 3,9 milions de dòlars en pèrdues.
El protocol ha aturat les operacions i ha iniciat una investigació forense sobre l’incident.
Segons Unleash, les troballes preliminars indiquen que una cartera de propietat externa va obtenir un control administratiu no autoritzat sobre el protocol mitjançant el seu sistema de govern multisignatura (multisig).
Aleshores, l’atacant va executar una actualització del contracte no autoritzada que va permetre la retirada de fons dels usuaris sense les aprovacions adequades.
“Aquesta actualització va permetre retirades d’actius que no van ser aprovades per l’equip Unleash i es van produir fora dels nostres procediments operatius i de govern previst”, va dir l’equip en un comunicat publicat a X.
Els analistes de seguretat suggereixen que el compromís podria haver estat el resultat del phishing o d’una altra forma d’enginyeria social que va permetre a l’atacant obtenir el control de les claus de govern, evitant de manera efectiva les garanties estàndard.
Els béns robats es van combinar i es van barrejar
S’ha informat que els actius robats incloïen Wrapped IP (WIP), USDC, Wrapped Ether (WETH), stIP i tokens vIP.
L’anàlisi en cadena mostra que la majoria d’aquests actius es van connectar primer a Ethereum, després es van consolidar a ETH i es van encaminar a través de Tornado Cash, un enfocament utilitzat habitualment pels pirates informàtics per dificultar els esforços de seguiment i recuperació.
CertiK va dir que inicialment va detectar retirades sospitoses de fitxes relacionades amb WETH i IP que es van enviar a una adreça de propietat externa creada amb SafeProxyFactory, un marc de contracte intel·ligent popular per a carteres multisig.
Hem detectat dipòsits de 1337,1 ETH (~3,9 milions de dòlars) a Tornado Cash des de 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3.
El fons es remunta a retirades sospitoses de fitxes ETH i Història embolcallades d’una signatura múltiple que podria haver estat compromesa… pic.twitter.com/YIFEAEwilc
— CertiK Alert (@CertiKAlert) 30 de desembre de 2025
No hi ha impacte més ampli sobre l’ecosistema, diu Unleash
Unleash va subratllar que l’incompliment es limitava als seus propis contractes de govern i administratius.
L’equip d’Unleash va declarar que actualment no hi ha proves que Story Protocol, la cadena de blocs de la capa 1 sobre la qual es basa Unleash, estigui compromès.
“L’impacte sembla limitat als contractes i controls administratius específics d’Unleash”, va dir l’equip d’Unleash, i va afegir que els validadors, la infraestructura bàsica i els contractes de Story Protocol no es veuen afectats.
Unleash és una de les aplicacions més destacades de l’ecosistema Story Protocol, que se centra en la propietat intel·lectual i la gestió de la IP en cadena.
PIP Labs, l’empresa darrere de Story Protocol, ha recaptat uns 140 milions de dòlars en finançament d’inversors destacats.
Els usuaris van avisar mentre la investigació continua
L’equip d’Unleash ha instat els usuaris a no interactuar amb el protocol mentre la investigació està en curs i va dir que proporcionarà actualitzacions sobre l’incident i possibles mesures de reparació a mesura que hi hagi més informació verificada disponible.
En el moment d’escriure aquest article, Unleash no havia revelat si té previst fer esforços de recuperació de fons o compensació per als usuaris afectats, i l’ús de Tornado Cash per part del pirata informàtic pot complicar significativament qualsevol intent de rastrejar o recuperar els actius robats.
