## Експлойт Unleash Protocol: como $3,9 milhões em fundos foram retirados devido a uma vulnerabilidade de gestão

Pesquisadores de segurança da PeckShield identificaram um incidente grave na plataforma descentralizada Unleash Protocol, que opera com base no Story Protocol. O atacante explorou uma vulnerabilidade no sistema de gestão multiassinatura e conseguiu retirar aproximadamente $3,9 milhões em ativos dos usuários. O incidente destacou a importância crítica da proteção do controle administrativo no ecossistema DeFi.

## Anatomia do ataque: de acesso não autorizado à retirada de fundos

O ataque começou com a compromissão do mecanismo de multiassinatura do Unleash Protocol. O atacante obteve acesso administrativo não autorizado e implementou uma atualização não aprovada no contrato inteligente, que contornou os procedimentos padrão de aprovação. Isso deu ao atacante controle direto sobre o protocolo e a capacidade de retirar fundos dos contratos sem autorização interna da equipe.

Após a retirada dos ativos do protocolo, o atacante começou a dividir os fundos roubados em pequenas partes para dificultar o rastreamento. Na blockchain Ethereum, foram registrados depósitos na forma de 1 337,1 ETH, que foram enviados para Tornado Cash — uma ferramenta de privacidade popular para ocultar a origem das transações. O sistema de depósitos múltiplos (de pequenas quantidades até lotes de 100 ETH) foi claramente direcionado para misturar os ativos através de um protocolo de mixer, a fim de eliminar a ligação entre os fundos roubados e a fonte original.

## Quais ativos foram afetados

Durante o exploit, vários tokens-chave do ecossistema foram comprometidos: WIP, USDC, WETH, stIP e vIP. Todos esses ativos foram retirados sem a aprovação da gestão oficial, sem o consentimento da equipe principal. A equipe do Unleash Protocol afirmou que o incidente está limitado apenas aos contratos do próprio protocolo — o Story Protocol, seus validadores e a infraestrutura básica permaneceram intactos.

## Ações da plataforma e recomendações aos usuários

Logo após a descoberta da vulnerabilidade, o Unleash Protocol suspendeu todas as operações para evitar perdas adicionais. A equipe iniciou uma investigação junto com especialistas independentes em segurança e peritos forenses. No momento, recomenda-se fortemente que os usuários evitem interagir com os contratos do Unleash Protocol até que sejam divulgadas atualizações oficiais para corrigir a vulnerabilidade.

Este incidente reforça a importância de auditorias de segurança regulares, múltiplas confirmações para operações críticas de gestão e a implementação de monitoramento adequado do acesso administrativo em protocolos DeFi.