Блокчейн-платформа Unleash Protocol, специализирующаяся на финансировании интеллектуальной собственности в экосистеме Story, сообщила о серьёзном инциденте безопасности. По данным аналитиков CertiK Alert и PeckShield, злоумышленники похитили активы на сумму около $3,9 млн (1337,1 ETH). Украденные средства были переведены через сторонние мосты и отправлены в микшер Tornado Cash для отмывания.
Инцидент произошёл 30 декабря 2025 года. Расследование показало, что внешний адрес получил административный контроль через систему мультиподписного управления (multisig) протокола. Это позволило злоумышленникам провести несанкционированное обновление смарт-контракта, которое открыло доступ к выводу активов в обход установленных процедур управления.
Пострадавшими активами стали WIP, USDC, WETH, stIP и vIP. После вывода средства были сконвертированы в Ethereum и депонированы в Tornado Cash с адреса 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3.
Команда Unleash Protocol подчеркнула, что инцидент, по всей видимости, ограничивается их собственными контрактами и административными механизмами. Контракты базового Story Protocol, а также валидаторы и инфраструктура не были скомпрометированы. Тем не менее, для предотвращения дальнейших рисков все операции протокола приостановлены.
В настоящее время ведётся расследование с привлечением независимых экспертов по безопасности и криминалистов. Проводится полный аудит активности подписантов multisig, практик управления ключами и процессов управления. Пользователям настоятельно рекомендуется воздерживаться от взаимодействия с контрактами Unleash Protocol и следить за обновлениями только через официальные каналы связи.
