Unleash Protocol Hack: 3,9 millioner dollars stjålet på grund af kompromis med multisig-styring

Unleash-protokollen, der positionerer sig som en universel løsning til styring af intellektuel ejendom (IP) og pengemarked baseret på Story Protocol, blev udsat for et hackerangreb med tab på cirka 3,9 millioner dollars. Dette blev rapporteret af projektteamet i en officiel meddelelse på X-platformen og bekræftet af uafhængige analytikere fra PeckShield.

Ifølge efterforskningsdataene fik angriberen administrativ kontrol over Unleashs smarte kontrakter gennem en multisig-wallet, hvilket gjorde det muligt for dem at udføre en uautoriseret kontraktopgradering. Dette åbnede vejen for hævning af aktiver, herunder WIP, USDC, WETH, stIP og vIP. Efter angrebet blev midlerne brokoblet via tredjepartsinfrastruktur og overført til eksterne adresser. Hackeren overførte især 1337.1 ETH til Tornado Cash-protokollen til anonymisering af transaktioner, hvilket komplicerer yderligere sporing.

Unleash-teamet suspenderede straks alle protokoloperationer for at forhindre yderligere risici og begyndte at samarbejde med uafhængige sikkerheds- og retsmedicinske eksperter. De understregede, at hændelsen udelukkende var begrænset til Unleash-kontrakter og ikke påvirkede den underliggende Story Protocol-infrastruktur, validatorer eller andre relaterede elementer.

"Vi tager denne hændelse med den største alvor og anerkender virkningen på vores brugere og partnere. Vores prioritet er en fuld forståelse af situationen, gennemsigtig kommunikation og fastlæggelse af genopretningsforanstaltninger," lyder den officielle erklæring.

PeckShields angiver, at angrebet opstod på grund af en sårbarhed i styrings- og tilladelsessystemet, især i multisig-mekanismen, som skulle sikre decentraliseret beslutningstagning. Dette er ikke det første tilfælde, hvor multisig bliver et svagt punkt: lignende angreb er blevet registreret i andre DeFi-projekter, hvor vigtige kompromitteringer har ført til betydelige tab. Ifølge brancherapporter havde de samlede tab fra DeFi-hacks i 2025 allerede oversteget 1 milliard dollars, med fokus på sårbarheder i styring og kontraktopgraderinger.

Fællesskabet reagerede tvetydigt: Nogle brugere på X kalder hændelsen for et "svindelnummer" og tvivler på projektets pålidelighed, mens andre opfordrer til styrkede sikkerhedsforanstaltninger i styringen. På tidspunktet for nyhedens skrivning viste protokollens token ikke et signifikant fald, da Unleash ikke har sin egen likvide token på åbne markeder, men dette kan påvirke tilliden til Story Protocol-økosystemet generelt.

Teamet lover at give opdateringer, når undersøgelsen er afsluttet, og råder brugerne til at afstå fra at interagere med Unleash-kontrakter indtil den officielle annoncering. Denne sag minder os endnu engang om vigtigheden af revisioner, nøglerotation i multisig og brugen af værktøjer som Revoke.cash til at administrere tilladelser for at minimere risici i DeFi.