O Unleash Protocol confirmou que houve uma grande violação de segurança devido a uma ação não autorizada em seus smart contracts, resultando na retirada e transferência de fundos dos usuários. Este incidente foi identificado mais cedo hoje e já levou à suspensão automática de todas as operações do Unleash Protocol, enquanto a equipe tenta conter o problema e determinar sua causa.
Em uma notificação oficial de incidente emitida pela equipe do Unleash, foi informado que o ataque foi iniciado na governança e na estrutura de permissões do protocolo. As primeiras indicações apontam que um endereço externo também obteve controle administrativo através da estrutura de governança multisig do Unleash. Com esse acesso, o invasor realizou uma atualização não autorizada do contrato, o que permitiu retiradas além dos processos de governança e operação do projeto.
Atualização Não Autorizada do Contrato Permitiu Retiradas de Ativos
A atualização invadida teria permitido a extração de diversos recursos armazenados nos smart contracts do Unleash Protocol. Os ativos considerados impactados até o momento da investigação são WIP, USDC, WETH e os tokens relacionados a staking, que são stIP e vIP. As retiradas foram realizadas por meio de infraestrutura de terceiros, após o que os ativos foram transferidos para endereços externos, dificultando a recuperação imediata.
O Unleash também ressaltou que tais ações não foram autorizadas pela equipe principal, mas ocorreram dentro dos controles de governança, completamente sem intenção. Segundo a liderança do protocolo, o incidente pode ser descrito como uma falha crítica dos mecanismos de proteção administrativa, mas não um ataque à infraestrutura maior.
Escopo do Impacto Parece Limitado
Em sua primeira avaliação, a equipe do Unleash Protocol escreveu que não há evidências de comprometimento nos contratos do Story Protocol, validadores ou infraestrutura subjacente até o momento. O efeito parece estar limitado aos contratos específicos do Unleash e às restrições administrativas, indicando que o problema não se estendeu ao ecossistema mais amplo.
No entanto, a equipe alertou que a investigação ainda está em andamento e que, antes de qualquer conclusão ser divulgada, todas as descobertas serão confirmadas. Os dados do incidente on-chain estão sendo mantidos para facilitar a investigação forense que será utilizada nos relatórios subsequentes.
Resposta de Emergência e Investigação em Andamento
Como medida de resposta, o Unleash Protocol cessou todas as operações para garantir que a exposição de seus usuários e outros ativos não fosse ainda mais comprometida. A equipe agora está colaborando lado a lado com especialistas independentes em segurança e investigadores forenses para estabelecer como o controle administrativo foi obtido e se existem outras vulnerabilidades.
A atividade dos signatários do multisig, práticas de gestão importantes e processos de governança estão sendo totalmente revisados. O Unleash Protocol também confirmou que se sincronizou com parceiros do ecossistema e provedores de infraestrutura, especialmente de ponte (bridging) e roteamento de transações, para rastrear o fluxo de fundos e identificar possíveis medidas de mitigação.
Orientações aos Usuários e Medidas de Segurança
O Unleash recomendou que os usuários evitem interagir com quaisquer contratos do Unleash Protocol até novo aviso. A equipe também enfatizou que os indivíduos devem depender apenas dos canais oficiais de comunicação para obter atualizações e não cair em armadilhas de desinformação ou personificação que geralmente seguem incidentes de grande repercussão.
Mais orientações para os usuários afetados estarão disponíveis após a confirmação dos resultados da investigação e identificação das medidas corretas. O Unleash ainda não anunciou nenhum programa específico de remediação ou compensação neste momento, pois isso ainda está em consideração.
Compromisso com a Transparência e Responsabilidade
A equipe do Unleash Protocol divulgou um comunicado admitindo que o incidente afetou usuários e parceiros e que a situação está sendo tratada com o mais alto nível de seriedade. A equipe reafirmou seu desejo de manter um canal aberto de comunicação e divulgação responsável à medida que mais informações se tornarem disponíveis.
Embora o incidente destaque vulnerabilidades contínuas nos controles de governança e administração de protocolos descentralizados, o Unleash apresentou esta resposta como uma medida vital para reforçar a confiança e sua postura de segurança. Novos desdobramentos serão comunicados no decorrer da investigação.
