Ataque hacker ao protocolo Unleash: US$ 3,9 milhões roubados devido a comprometimento da governança multisig.

O protocolo Unleash, que se posiciona como uma solução universal para gestão de propriedade intelectual (PI) e mercado financeiro baseado no Story Protocol, sofreu um ataque hacker com prejuízos estimados em aproximadamente US$ 3,9 milhões. A informação foi divulgada pela equipe do projeto em um comunicado oficial na plataforma X e confirmada por analistas independentes da PeckShield.

De acordo com os dados da investigação, o atacante obteve controle administrativo sobre os contratos inteligentes da Unleash por meio de uma carteira multisig, o que lhe permitiu realizar uma atualização não autorizada do contrato. Isso abriu caminho para o saque de ativos, incluindo WIP, USDC, WETH, stIP e vIP. Após o ataque, os fundos foram transferidos por meio de infraestrutura de terceiros para endereços externos. Em particular, o hacker transferiu 1337,1 ETH para o protocolo Tornado Cash para anonimização da transação, o que dificulta o rastreamento posterior.

A equipe da Unleash suspendeu imediatamente todas as operações do protocolo para evitar maiores riscos e começou a colaborar com especialistas independentes em segurança e perícia forense. Eles enfatizaram que o incidente se limitou exclusivamente aos contratos da Unleash e não afetou a infraestrutura subjacente do Story Protocol, validadores ou outros elementos relacionados.

"Estamos tratando este incidente com a máxima seriedade e reconhecemos o impacto em nossos usuários e parceiros. Nossa prioridade é compreender plenamente a situação, manter uma comunicação transparente e determinar medidas de recuperação", diz o comunicado oficial.

A PeckShield indica que o ataque ocorreu devido a uma vulnerabilidade no sistema de governança e permissões, particularmente no mecanismo multisig, que tinha como objetivo garantir a tomada de decisões descentralizada. Este não é o primeiro caso em que o multisig se torna um ponto fraco: explorações semelhantes foram registradas em outros projetos DeFi, onde comprometimentos críticos levaram a perdas significativas. De acordo com relatórios do setor, em 2025, as perdas totais com ataques a DeFi já ultrapassaram US$ 1 bilhão, com foco em vulnerabilidades na governança e nas atualizações de contratos.

A comunidade reagiu de forma ambígua: alguns usuários do X estão chamando o incidente de "golpe" e duvidando da confiabilidade do projeto, enquanto outros pedem medidas de segurança reforçadas na governança. No momento da publicação desta notícia, o token do protocolo não apresentou uma queda significativa, já que o Unleash não possui um token próprio com liquidez em mercados abertos, mas isso pode afetar a confiança no ecossistema do Story Protocol como um todo.

A equipe promete fornecer atualizações após a conclusão da investigação e aconselha os usuários a evitarem interagir com contratos da Unleash até o anúncio oficial. Este caso nos lembra, mais uma vez, da importância de auditorias, rotação de chaves em sistemas multisig e do uso de ferramentas como o Revoke.cash para gerenciar permissões e minimizar riscos em DeFi.