Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 287RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 257Governance-Angriff

Unleash Protocol Multisig-Governance-Übernahme

Ein Angreifer übernahm die Multisig-Admin-Kontrolle von Unleash Protocol, erzwang ein nicht autorisiertes Vertrags-Upgrade und entwendete rund 3,9 Mio. USD von der Story-basierten IP-Plattform.

Datum
Opfer
Unleash Protocol
Chain(s)
Story
Status
Mittel entwendet

Am 30. Dezember 2025 wurde Unleash Protocol — eine On-Chain-Plattform für geistiges Eigentum auf Basis von Story — um etwa 3,9 Millionen US-Dollar erleichtert, nachdem ein Angreifer die Multisig-Governance-Kontrolle übernommen und ein nicht autorisiertes Vertrags-Upgrade durchgesetzt hatte, das den Weg für Vermögensabhebungen öffnete.

Was geschah

Unleash entdeckte am 30. Dezember 2025 nicht autorisierte Aktivitäten an seinen Smart Contracts. Laut PeckShield verschaffte sich der Angreifer genügend Signierrechte, um als Administrator des Multisig-Governance-Systems zu agieren, und nutzte dabei Schwächen in der Durchsetzung der Admin-Berechtigungen aus. Mit diesem Zugang setzte der Angreifer ein vom Kernteam nie genehmigtes Vertrags-Upgrade durch, dessen neue Logik Abhebungen außerhalb der vorgesehenen Governance-Verfahren ermöglichte. Dabei wurden mehrere Vermögenswerte abgezogen, darunter WIP, USDC, WETH, stIP und vIP. Das Muster — administrative Kontrolle übernehmen und dann ein bösartiges Upgrade durchsetzen, um die Treasury zu leeren — gleicht der Governance-Übernahme bei Atlantis Loans, bei der eine gekaperte Admin-Rolle in einen sofortigen Abhebungsweg verwandelt wurde.

Folgen

Der Angreifer überbrückte die gestohlenen Mittel nach Ethereum und leitete 1.337,1 ETH in Tornado Cash, den von der OFAC sanktionierten Mixer, um die Spur zu verschleiern — derselbe schnelle Geldwäsche-Schritt wie beim TesseraDAO-Exit. Unleash Protocol stoppte den Betrieb und leitete eine forensische Untersuchung ein, betonte jedoch, dass der Vorfall auf die eigenen Verträge und Admin-Kontrollen beschränkt war: Es gab keine Anzeichen für eine Kompromittierung des weiteren Story-Ökosystems, seiner Validatoren oder Kerninfrastruktur. Unmittelbar danach waren keine Mittel zurückerlangt worden.

Warum es wichtig ist

Der Fall Unleash Protocol ist eine weitere Erinnerung daran, dass Upgrade-Befugnis und Multisig-Admin-Schlüssel das gefährlichste Privileg eines Protokolls sind. Geprüfte Token-Logik bietet kaum Schutz, sobald ein Angreifer die administrative Kontrolle neu zuweisen und den Vertragscode selbst ersetzen kann. Da Governance- und Admin-Kompromittierungen reine Smart-Contract-Fehler zunehmend als dominanten Verlustvektor ablösen, lautet die Lehre wie so oft im Katalog: Die Schwellenwerte und die Schlüsselhygiene rund um die Upgrade-Fähigkeit verdienen mindestens so viel Aufmerksamkeit wie die Verträge, die sie steuern.

Quellen & On-Chain-Belege

  1. [01]coinjournal.nethttps://coinjournal.net/news/how-a-governance-failure-led-to-the-unleash-protocol-hack/
  2. [02]thestreet.comhttps://www.thestreet.com/crypto/markets/ip-platform-loses-millions-in-end-of-year-hack
  3. [03]coinmarketcap.comhttps://coinmarketcap.com/academy/article/unleash-protocol-loses-dollar39m-in-governance-exploit
  4. [04]coinpedia.orghttps://coinpedia.org/news/unleash-protocol-hack-drains-3-9m-after-multisig-exploit-peckshield-reveals/

Verwandte Einträge