Unleash Protocol ha confermato che si è verificata una grave violazione della sicurezza a causa di un'azione non autorizzata sui suoi smart contract, che ha portato al prelievo e al trasferimento dei fondi degli utenti. L'incidente è stato identificato nella giornata odierna e ha già portato alla sospensione automatica di tutte le operazioni di Unleash Protocol mentre il team cerca di contenere il problema e determinarne la causa.
In una comunicazione ufficiale sull'incidente rilasciata dal team Unleash, è stato reso noto che l'attacco è stato avviato tramite la struttura di governance e permessi del protocollo. Le prime indicazioni suggeriscono che un indirizzo posseduto esternamente abbia ottenuto anche il controllo amministrativo attraverso la governance multisig di Unleash. Con questo accesso, l'attaccante ha effettuato un upgrade non autorizzato del contratto che ha permesso prelievi al di fuori dei normali processi di governance e operativi del progetto.
Upgrade non autorizzato del contratto ha consentito i prelievi di asset
L’upgrade compromesso avrebbe permesso l’estrazione di diverse risorse conservate negli smart contract di Unleash Protocol. Gli asset che al momento dell’indagine risultano impattati sono WIP, USDC, WETH e i token legati allo staking, cioè stIP e vIP. I prelievi sono stati eseguiti tramite infrastrutture di terze parti, dopodiché gli asset sono stati trasferiti verso indirizzi esterni, rendendo difficile un recupero immediato.
Unleash ha inoltre sottolineato che tali operazioni non sono state autorizzate dal team principale ma si sono svolte all'interno dei controlli di governance, risultando del tutto involontarie. Secondo la leadership del protocollo, l'incidente può essere descritto come un fallimento critico dei meccanismi di protezione amministrativa, ma non come un attacco all'infrastruttura più ampia.
L’impatto appare limitato
Nella loro prima valutazione, il team di Unleash Protocol ha scritto che al momento non ci sono prove di compromissione dei contratti Story Protocol, dei validatori o dell’infrastruttura sottostante. L’effetto sembra essere limitato ai soli contratti e restrizioni amministrative specifici di Unleash, indicando che il problema non si è esteso all’ecosistema più ampio.
Tuttavia, il team ha avvertito che l’indagine è ancora in corso e che, prima di divulgare qualsiasi conclusione, tutte le scoperte saranno confermate. I dati on-chain relativi all’incidente vengono conservati per facilitare l’indagine forense che sarà utilizzata nelle successive comunicazioni.
Risposta di emergenza e indagine in corso
Unleash Protocol ha interrotto tutte le operazioni come misura precauzionale per garantire che l’esposizione degli utenti e degli altri asset non venisse ulteriormente compromessa. Il team sta ora collaborando strettamente con esperti di sicurezza indipendenti e investigatori forensi per stabilire come sia stato ottenuto il controllo amministrativo e se esistano altre vulnerabilità.
L’attività dei firmatari multisig, le principali pratiche di gestione e i processi di governance sono oggetto di una revisione completa. Unleash Protocol ha inoltre confermato di essersi coordinato con i partner dell’ecosistema e i fornitori di infrastrutture, in particolare quelli relativi a bridge e instradamento delle transazioni, per tracciare i flussi di fondi e individuare eventuali misure di mitigazione.
Indicazioni per gli utenti e misure di sicurezza
Unleash ha invitato gli utenti a non interagire con alcun contratto Unleash Protocol fino a nuovo avviso. Il team ha inoltre sottolineato che gli utenti dovrebbero affidarsi esclusivamente ai canali di comunicazione ufficiali per ricevere aggiornamenti e non cadere vittima di disinformazione o tentativi di impersonificazione che spesso seguono incidenti di alto profilo.
Ulteriori linee guida per gli utenti coinvolti saranno disponibili dopo la conferma dei risultati dell’indagine e l’identificazione delle misure appropriate. Unleash non ha ancora annunciato alcun programma specifico di rimedio o compensazione, che rimane comunque in considerazione.
Impegno per la trasparenza e la responsabilità
Il team di Unleash Protocol ha rilasciato una dichiarazione ammettendo che l’incidente ha colpito utenti e partner e che la situazione viene affrontata con il massimo livello di serietà. Lo staff ha ribadito la volontà di mantenere un canale di comunicazione aperto e una divulgazione responsabile man mano che saranno disponibili ulteriori informazioni.
Sebbene l’incidente metta in evidenza le persistenti vulnerabilità dei controlli di governance e amministrativi dei protocolli decentralizzati, Unleash considera questa risposta una misura fondamentale per rafforzare la fiducia e la propria posizione in termini di sicurezza. Ulteriori sviluppi verranno comunicati con il progredire delle indagini.
