Saltar al contenido
Est. MMXXVIVol. VI · № 287RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 257Ataque de gobernanza

Secuestro de la Gobernanza Multisig de Unleash Protocol

Un atacante tomó el control administrativo multisig de Unleash Protocol, forzó una actualización de contrato no autorizada y drenó cerca de 3,9 M USD de la plataforma de PI basada en Story.

Fecha
Víctima
Unleash Protocol
Cadena(s)
Story
Estado
Fondos robados

El 30 de diciembre de 2025, Unleash Protocol — una plataforma on-chain de propiedad intelectual construida sobre Story — fue drenada por aproximadamente 3,9 millones de dólares después de que un atacante secuestrara sus controles de gobernanza multisig e impusiera una actualización de contrato no autorizada que abrió la puerta a retiros de activos.

Qué ocurrió

Unleash detectó actividad no autorizada en sus contratos inteligentes el 30 de diciembre de 2025. Según PeckShield, el atacante obtuvo suficiente poder de firma para actuar como administrador del sistema de gobernanza multisig del protocolo, aprovechando debilidades en la forma en que se aplicaban los permisos de administración. Con ese acceso, el atacante impuso una actualización de contrato que el equipo central nunca había aprobado, cuya nueva lógica permitía retiros fuera de los procedimientos de gobernanza previstos. En el proceso se sustrajeron varios activos, entre ellos WIP, USDC, WETH, stIP y vIP. El patrón — tomar el control administrativo y luego imponer una actualización maliciosa para vaciar la tesorería — refleja la toma de gobernanza de Atlantis Loans, donde un rol de administrador capturado se convirtió en una vía de retiro inmediata.

Consecuencias

El atacante transfirió los fondos robados a Ethereum y canalizó 1.337,1 ETH hacia Tornado Cash, el mezclador sancionado por la OFAC, para ocultar el rastro — el mismo salto de blanqueo rápido visto en la salida de TesseraDAO. Unleash Protocol pausó sus operaciones e inició una investigación forense, subrayando que el incidente se limitó a sus propios contratos y controles administrativos: no hubo indicios de compromiso en el ecosistema Story más amplio, sus validadores o su infraestructura central. No se había recuperado ningún fondo en lo inmediato.

Por qué importa

El caso de Unleash Protocol es otro recordatorio de que la autoridad de actualización y las claves de administración multisig son el privilegio más peligroso de un protocolo. La lógica de token auditada ofrece poca protección una vez que un atacante puede reasignar el control administrativo y reemplazar el propio código del contrato. A medida que los compromisos de gobernanza y administración eclipsan cada vez más a los errores puros de contrato inteligente como vector de pérdida dominante, la lección es la misma que se repite en el catálogo: los umbrales y la higiene de las claves en torno a la capacidad de actualización merecen al menos tanta atención como los contratos que gobiernan.

Fuentes y evidencia on-chain

  1. [01]coinjournal.nethttps://coinjournal.net/news/how-a-governance-failure-led-to-the-unleash-protocol-hack/
  2. [02]thestreet.comhttps://www.thestreet.com/crypto/markets/ip-platform-loses-millions-in-end-of-year-hack
  3. [03]coinmarketcap.comhttps://coinmarketcap.com/academy/article/unleash-protocol-loses-dollar39m-in-governance-exploit
  4. [04]coinpedia.orghttps://coinpedia.org/news/unleash-protocol-hack-drains-3-9m-after-multisig-exploit-peckshield-reveals/

Registros relacionados