Злом протоколу Unleash: 3,9 мільйона доларів викрадено через компрометацію управління Multisig

Протокол Unleash, який позиціонує себе як універсальне рішення для управління інтелектуальною власністю (ІВ) та грошовим ринком на базі Story Protocol, зазнав хакерської атаки зі збитками приблизно на 3,9 мільйона доларів. Про це повідомила команда проекту в офіційному оголошенні на платформі X, а також підтвердили незалежні аналітики PeckShield.

Згідно з даними розслідування, зловмисник отримав адміністративний контроль над смарт-контрактами Unleash через мультипідписний гаманець, що дозволило йому виконати несанкціоноване оновлення контракту. Це відкрило шлях для виведення активів, включаючи WIP, USDC, WETH, stIP та vIP. Після атаки кошти були переведені через сторонню інфраструктуру на зовнішні адреси. Зокрема, хакер перевів 1337,1 ETH до протоколу Tornado Cash для анонімізації транзакцій, що ускладнює подальше відстеження.

__КОРОТКИЙ_ТОКЕН_0__

Команда Unleash негайно призупинила всі операції з протоколом, щоб запобігти подальшим ризикам, і почала співпрацювати з незалежними експертами з безпеки та криміналістики. Вони наголосили, що інцидент обмежився виключно контрактами Unleash і не вплинув на базову інфраструктуру Story Protocol, валідатори чи інші пов'язані елементи.

«Ми ставимося до цього інциденту з найвищою серйозністю та усвідомлюємо його вплив на наших користувачів і партнерів. Нашим пріоритетом є повне розуміння ситуації, прозора комунікація та визначення заходів щодо відновлення», – йдеться в офіційній заяві.

PeckShield вказує на те, що атака сталася через вразливість у системі управління та дозволів, зокрема в механізмі мультипідпису, який мав забезпечити децентралізоване прийняття рішень. Це не перший випадок, коли мультипідпис стає слабким місцем: подібні експлойти були зафіксовані в інших DeFi-проектах, де ключові компрометації призвели до значних збитків. Згідно з галузевими звітами, у 2025 році загальні збитки від хакерських атак DeFi вже перевищили 1 мільярд доларів, з акцентом на вразливості в управлінні та оновленні контрактів.

Спільнота відреагувала неоднозначно: деякі користувачі X називають інцидент «шахрайством» та сумніваються в надійності проєкту, інші ж закликають до посилення заходів безпеки в управлінні. На момент написання новини токен протоколу не показав значного падіння, оскільки Unleash не має власного ліквідного токена на відкритих ринках, але це може вплинути на довіру до екосистеми Story Protocol загалом.

Команда обіцяє надати оновлення після завершення розслідування та радить користувачам утримуватися від взаємодії з контрактами Unleash до офіційного оголошення. Цей випадок ще раз нагадує нам про важливість аудитів, ротації ключів у мультипідписі та використання таких інструментів, як Revoke.cash, для управління дозволами з метою мінімізації ризиків у DeFi.