O Unleash Protocol enfrentou um ataque que expôs falhas graves em sua governança. A plataforma, dedicada ao financiamento de propriedade intelectual no ecossistema Story, confirmou o desvio de US$ 3,9 milhões em diferentes ativos digitais. Segundo a PeckShield, o invasor converteu os fundos em 1.337,1 ETH após utilizar bridges e o serviço de privacidade Tornado Cash.

Os ativos drenados incluíram WIP, USDC, WETH, STIP e VIP. Além disso, o responsável moveu os recursos entre blockchains para ocultar rastros antes de enviá-los ao Tornado Cash. Assim, analistas afirmam que o processo dificultou o monitoramento on-chain.

Falha de governança expõe vulnerabilidade do protocolo

Após detectar a atividade anormal, o Unleash publicou uma nota explicando a origem do incidente. De acordo com a equipe, um endereço externo obteve controle administrativo do sistema multisig, o que possibilitou atualizar contratos sem autorização da comunidade. Portanto, o invasor conseguiu retirar fundos em desacordo com as regras internas.

No comunicado divulgado no X, a plataforma ressaltou que ainda investiga o ataque ao lado de especialistas independentes. Além disso, a equipe declarou que busca identificar a extensão completa da invasão e compreender como o agente mal-intencionado conseguiu acesso aos privilégios administrativos.

A plataforma também ressaltou que o ocorrido não está ligado a qualquer falha técnica no Story Protocol, tecnologia sobre a qual o Unleash é construído. Segundo análises independentes, o problema ficou restrito ao modelo de governança do Unleash, sem comprometer o protocolo base.

Operações suspensas e medidas emergenciais

Como resposta imediata, o Unleash suspendeu todas as interações com seus contratos inteligentes. A equipe orientou os usuários a evitar transações envolvendo o protocolo até novas atualizações oficiais. No entanto, os desenvolvedores afirmam que estão focados em revisar processos internos para evitar ataques semelhantes no futuro.

A movimentação dos valores pelo Tornado Cash reforça a dificuldade de rastrear fundos desviados com ferramentas de privacidade. Ainda assim, empresas de análise blockchain continuam monitorando fluxos associados ao ataque em busca de indícios que possam facilitar a identificação do autor.

Além disso, a rápida conversão dos fundos para ETH indica que o invasor agiu de forma técnica e planejada, o que complica a recuperação dos ativos. Portanto, especialistas acreditam que as chances de reversão são reduzidas, embora não impossíveis.

No curto prazo, o ataque provoca uma interrupção total das operações do Unleash. A equipe concentra esforços em auditorias, análises forenses e revisão da governança. Assim, o incidente levanta novamente o debate sobre modelos de segurança em protocolos descentralizados, especialmente aqueles dependentes de sistemas multisig.

Enquanto isso, observadores do mercado aguardam novas atualizações oficiais. O caso deve impulsionar discussões mais amplas sobre a necessidade de fortalecer mecanismos de proteção em plataformas Web3.