Colpo da 3,9 milioni di dollari: Unleash Protocol svuotato da exploit di governance, fondi instradati tramite Tornado Cash

Unleash Protocol, una piattaforma di finanza per la proprietà intellettuale costruita sull’ecosistema Story, ha subito una violazione della sicurezza che ha comportato una perdita pari a circa 3,9 milioni di dollari, secondo l’analisi della società di sicurezza blockchain PeckShield.

L’attaccante ha trasferito gli asset sottratti su Ethereum e ha depositato 1.337,1 ether (ETH) in Tornado Cash, un servizio di mixing utilizzato per offuscare la storia delle transazioni, sempre secondo PeckShield. Il valore unitario dell’ether al momento del trasferimento era indicativamente di 2.948,81 dollari.

Unleash Protocol said:

“Earlier today, we detected unauthorized activity involving Unleash Protocol smart contracts, which led to the withdrawal and transfer of user funds. Our initial investigation indicates that an externally owned address gained administrative control through Unleash’s multisignature governance system, enabling an unauthorized contract upgrade that allowed asset withdrawals outside approved governance procedures.”

La piattaforma ha indicato che gli asset interessati comprendono WIP, USDC, WETH, stIP e vIP. Dopo i prelievi, i fondi sono stati instradati tramite infrastrutture di terze parti verso indirizzi esterni.

Contesto: piattaforme di finanza sulla proprietà intellettuale

Le piattaforme come Unleash si propongono di trasferire diritti di proprietà intellettuale — ad esempio contenuti media, marchi e opere creative — sulla blockchain per permetterne la tokenizzazione, la licenza e l’utilizzo come strumenti finanziari all’interno di applicazioni decentralizzate. Questo modello punta a creare nuovi mercati per la monetizzazione dei diritti, ma introduce anche rischi tecnologici e di governance legati alla gestione on‑chain degli asset e dei diritti.

Cause apparenti e responsabilità

Sia Unleash sia la società di analisi on‑chain LookonChain hanno segnalato che lo sfruttamento sembra derivare da un problema di governance interna della piattaforma, anziché da una vulnerabilità del protocollo Story in sé. In particolare, l’indagine preliminare indica che un indirizzo esterno ha ottenuto poteri amministrativi attraverso il sistema di governance multisignature, permettendo un aggiornamento contrattuale non autorizzato.

Azioni intraprese e raccomandazioni per gli utenti

Unleash ha sospeso tutte le operazioni mentre prosegue l’indagine e ha annunciato la collaborazione con esperti indipendenti di sicurezza e investigatori forensi per identificare la causa radice dell’incidente. Agli utenti è stato chiesto di non interagire con i contratti del protocollo fino a nuovo avviso e di seguire i canali ufficiali per gli aggiornamenti.

Per mitigare il rischio, la prassi consigliata in questi casi include il congelamento delle funzioni sensibili dove possibile, audit completi dei meccanismi di multisig e la revisione delle procedure di aggiornamento dei contratti. Le indagini forensi blockchain cercano di tracciare i flussi dei fondi e di identificare eventuali punti di uscita verso exchange o servizi di mixing.

Implicazioni normative e di mercato

Incidenti di questo tipo sollevano questioni rilevanti per la regolamentazione degli asset digitali e per la tutela degli utenti: la contaminazione tra diritti di proprietà intellettuale e strumenti finanziari tokenizzati può richiedere quadri normativi più chiari, obblighi di trasparenza e misure di governance più robuste per le organizzazioni che amministrano asset on‑chain.

Inoltre, l’uso di servizi di mixing come Tornado Cash per eludere la tracciabilità rafforza l’interesse delle autorità e degli operatori del settore verso pratiche di compliance e strumenti di monitoraggio on‑chain più sofisticati.

Prossimi sviluppi attesi

L’evoluzione delle indagini, gli eventuali recuperi di fondi e le conclusioni forensi determineranno i passi successivi sia sul piano tecnico che su quello legale. La comunità e gli investitori seguiranno con attenzione gli aggiornamenti ufficiali di Unleash e gli esiti degli audit indipendenti per valutare l’impatto sull’affidabilità della piattaforma e sulle misure di governance adottate in futuro.