Unleash Protocol 损失 3,9 百万美元：多签攻击与资金逃逸之路

近期，区块链安全公司PeckShield发现Unleash Protocol——一个基于Story Protocol基础架构开发的去中心化应用平台——存在严重的安全漏洞。据报道，约有3.9百万美元的用户资金被攻击者盗取，随后资金被转移到以太坊网络，并通过匿名工具“脱衣”转移。

攻击方式

PeckShield透露，攻击者直接针对Unleash Protocol的多签管理系统。通过控制管理密钥，入侵者得以在未获得核心团队批准的情况下部署智能合约升级。这是协议保护机制中的一个严重设计缺陷。

合约升级后，攻击者直接从Unleash Protocol提取资产。被盗资产总价值达3.9百万美元。

隐藏痕迹与“脱衣”过程

此次攻击的一个显著细节是攻击者处理被盗资金的方式。区块链数据显示，资金已被转入以太坊网络，随后大量资金——具体为1,337.1 ETH——被发送到Tornado Cash，这是一个以隐私和匿名交易闻名的混币服务。

攻击者的“脱衣”策略采取逐步进行，从几ETH的小额转账到多次100 ETH的转账。这种逐步操作旨在降低被链上追踪和识别的风险。

受影响资产

在官方声明中，Unleash Protocol公布了被提取的代币和资产列表：

• WIP
• USDC
• WETH
• stIP
• vIP

所有这些提取均未遵循已批准的治理规则，未获得团队的任何内部授权。

Story Protocol依然安全

Unleash Protocol强调，攻击仅影响其自身的合约和治理系统。没有证据显示Story Protocol的核心基础设施、验证节点或其他组件受到影响。这限制了损失范围，表明问题出在应用层，而非底层基础设施。

反应与补救措施

在发现异常后，Unleash Protocol立即决定暂停全部协议操作，以防止进一步损失。团队正与独立安全专家合作，进行深入的取证调查。

目前，用户被要求避免与Unleash Protocol的任何合约交互，直到团队发布正式公告。

常见问题

为什么Unleash Protocol的多签被攻破？
报告未披露具体原因，但显示攻击者已控制管理密钥，可能通过配置错误、安全疏忽或未知的攻击向量实现。

用户能否追回资金？
目前尚不清楚。资金已被转入Tornado Cash，增加了追踪和恢复的难度。这将取决于取证调查的结果。

其他平台受到影响吗？
没有。此次攻击仅限于Unleash Protocol。Story Protocol及平台上的其他合约仍正常运行。

Unleash用户应采取什么措施？
暂停与任何Unleash合约的交互，直到收到正式更新。如果您的资金被锁定在协议中，请等待团队关于赔偿或恢复的通知。