Unleash-Protokoll-Hack: 3,9 Millionen Dollar durch Kompromittierung der Multisig-Governance gestohlen

Das Unleash-Protokoll, das sich als universelle Lösung für das Management geistigen Eigentums (IP) und den Geldmarkt auf Basis des Story-Protokolls positioniert, wurde Opfer eines Hackerangriffs mit einem Schaden von rund 3,9 Millionen US-Dollar. Dies gab das Projektteam in einer offiziellen Mitteilung auf der X-Plattform bekannt, und unabhängige Analysten von PeckShield bestätigten den Vorfall.

Den Ermittlungsdaten zufolge erlangte der Angreifer über eine Multisignatur-Wallet die administrative Kontrolle über die Smart Contracts von Unleash und konnte so ein unautorisiertes Vertrags-Upgrade durchführen. Dadurch wurde der Weg für die Abhebung von Vermögenswerten, darunter WIP, USDC, WETH, stIP und vIP, geebnet. Nach dem Angriff wurden die Gelder über eine Drittanbieterinfrastruktur an externe Adressen transferiert. Insbesondere übertrug der Hacker 1337,1 ETH an das Tornado Cash-Protokoll, um die Transaktion zu anonymisieren und so die weitere Nachverfolgung zu erschweren.

Das Unleash-Team hat umgehend alle Protokolloperationen ausgesetzt, um weitere Risiken zu vermeiden, und arbeitet nun mit unabhängigen Sicherheits- und Forensikexperten zusammen. Sie betonten, dass der Vorfall ausschließlich Unleash-Verträge betraf und die zugrundeliegende Story-Protokoll-Infrastruktur, Validatoren oder andere zugehörige Elemente nicht beeinträchtigte.

„Wir nehmen diesen Vorfall äußerst ernst und sind uns der Auswirkungen auf unsere Nutzer und Partner bewusst. Unsere Priorität ist es, die Situation vollständig zu verstehen, transparent zu kommunizieren und Maßnahmen zur Wiederherstellung festzulegen“, heißt es in der offiziellen Erklärung.

PeckShield zufolge erfolgte der Angriff aufgrund einer Schwachstelle im Governance- und Berechtigungssystem, insbesondere im Multisig-Mechanismus, der dezentrale Entscheidungsfindung gewährleisten sollte. Dies ist nicht der erste Fall, in dem sich Multisig als Schwachstelle erweist: Ähnliche Angriffe wurden bereits in anderen DeFi-Projekten verzeichnet, wo die Kompromittierung wichtiger Daten zu erheblichen Verlusten führte. Branchenberichten zufolge werden die Gesamtverluste durch DeFi-Hacks im Jahr 2025 bereits eine Milliarde US-Dollar überschritten haben, wobei Schwachstellen in der Governance und bei Vertragsaktualisierungen im Fokus stehen.

Die Community reagierte uneinheitlich: Einige Nutzer von X bezeichneten den Vorfall als Betrug und zweifelten an der Zuverlässigkeit des Projekts, während andere verstärkte Sicherheitsmaßnahmen in der Governance forderten. Zum Zeitpunkt der Veröffentlichung dieser Nachricht war der Token des Protokolls noch nicht signifikant gefallen, da Unleash keinen eigenen liquiden Token auf den freien Märkten anbietet. Dies könnte jedoch das Vertrauen in das Story Protocol-Ökosystem insgesamt beeinträchtigen.

Das Team verspricht, nach Abschluss der Untersuchung Updates bereitzustellen und rät Nutzern, bis zur offiziellen Bekanntgabe nicht mit Unleash-Smart-Contracts zu interagieren. Dieser Fall verdeutlicht einmal mehr die Bedeutung von Audits, Schlüsselrotation in Multisignatur-Systemen und dem Einsatz von Tools wie Revoke.cash zur Berechtigungsverwaltung, um Risiken im DeFi-Bereich zu minimieren.