La plataforma de finanzas de propiedad intelectual Unleash Protocol, construida sobre el ecosistema de Story, sufrió un ataque de seguridad que resultó en la pérdida de 3,9 millones de dólares este 30 de diciembre. Según la firma de seguridad PeckShield, el incidente fue provocado por una falla de gobernanza que permitió a un atacante tomar control administrativo de los contratos inteligentes. Los fondos robados fueron posteriormente enviados al mezclador de criptomonedas Tornado Cash para ocultar su rastro.
El atacante logró vulnerar el sistema de gobernanza multifirma (multisig) de la plataforma, lo que facilitó una actualización no autorizada de los contratos. Por otro lado, esta maniobra permitió la retirada de diversos activos, incluyendo WIP, USDC, WETH, stIP y vIP, hacia direcciones externas controladas por el criminal. El control administrativo facilitó la retirada de activos de manera ilegal. La seguridad de los contratos inteligentes fue comprometida por el atacante.
Una vez sustraídos los fondos, el responsable utilizó infraestructura de terceros para transferir los activos a la red Ethereum. Asimismo, PeckShield reportó que se depositaron un total de 1.337,1 ETH en el servicio de mezcla Tornado Cash para dificultar las labores de rastreo. De este modo, el atacante intentó borrar el historial de las transacciones antes de que las autoridades pudieran intervenir. El uso de Tornado Cash buscó ocultar el rastro de los fondos. Los activos fueron movidos rápidamente hacia la red Ethereum tras el robo.
La vulnerabilidad en la gestión administrativa expone riesgos en el sector Web3
La plataforma Unleash Protocol confirmó el incidente a través de sus canales oficiales y anunció la suspensión inmediata de todas sus operaciones. Por otra parte, tanto Unleash como la firma de análisis LookonChain aclararon que el exploit se originó específicamente en una falla de gobernanza interna y no en una vulnerabilidad de la red Story Protocol. El equipo detectó actividad no autorizada en sus contratos esta mañana. La investigación busca determinar la causa raíz del acceso administrativo obtenido.
Este tipo de ataques subraya los riesgos asociados con los sistemas de gobernanza centralizados o mal configurados en el entorno de las finanzas descentralizadas. Además, Unleash Protocol está colaborando actualmente con expertos independientes en seguridad y peritos forenses para rastrear los activos y fortalecer su infraestructura. Sin embargo, el daño reputacional y financiero plantea un desafío importante para el proyecto en el cierre del año. Las operaciones del protocolo han sido pausadas totalmente por precaución. Se recomienda a los usuarios no interactuar con contratos vinculados al protocolo.
¿Podrán las plataformas de propiedad intelectual on-chain recuperarse de estas brechas de seguridad?
El incidente en Unleash Protocol pone de manifiesto la necesidad de auditorías más rigurosas en los procesos de actualización de contratos y gestión de llaves multifirma. Por ende, la confianza de los inversores en los protocolos de tokenización de propiedad intelectual podría verse afectada temporalmente por este suceso. La seguridad de los activos de los usuarios es la prioridad principal ahora. El sector espera medidas correctivas tras esta falla administrativa grave.
En conclusión, el robo de 3,9 millones de dólares marca un cierre de año difícil para el ecosistema de Story Protocol. Asimismo, la resolución de este caso dependerá de la efectividad de las investigaciones forenses y la posible recuperación de fondos a través de cooperaciones internacionales. Por lo cual, los usuarios deben mantenerse informados a través de canales oficiales para cualquier actualización sobre el estado de sus activos. Unleash Protocol enfrenta una reestructuración de su seguridad interna. El impacto en el mercado de propiedad intelectual digital es significativo.
