Unleash Protocol đã tiết lộ hoạt động trái phép liên quan đến các hợp đồng thông minh của mình, dẫn đến việc rút và chuyển tiền của người dùng. Cuộc điều tra từ CertiK Alert đã phát hiện các khoản tiền gửi Ethereum vào Tornado Cash, sau khi Unleash Protocol khai thác lỗ hổng này.
Unleash Protocol điều tra vụ khai thác lỗ hổng đa chữ ký.
CertiK Alert đã tiết lộ trên X rằng họ đã phát hiện các khoản tiền gửi trị giá 1.337,1 ETH, tương đương khoảng 3,9 triệu đô la, được chuyển vào Tornado Cash. Nền tảng này đã liên kết giao dịch chuyển tiền từ địa chỉ ví 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3.
CertiK Alert cho biết thêm rằng nguồn tiền này bắt nguồn từ các giao dịch rút tiền đáng ngờ của Wrapped ETH và Story token từ một tài khoản đa chữ ký có thể đã bị xâm phạm.
Báo cáo này được đưa ra ngay sau khi Unleash Protocol thông báo đang điều tra một lỗ hổng bảo mật dẫn đến việc người dùng mất tiền.
#CertiKInsight 🚨
— CertiK Alert (@CertiKAlert) 30 tháng 12 năm 2025
Chúng tôi đã phát hiện khoản tiền gửi 1337,1 ETH (~3,9 triệu USD) vào Tornado Cash từ địa chỉ 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3.
Nguồn tin cho biết quỹ này xuất phát từ các giao dịch rút tiền đáng ngờ của Wrapped ETH và Story token từ một tài khoản đa chữ ký có thể đã bị xâm phạm… pic.twitter.com/YIFEAEwilc
Nhóm phát triển Unleash Protocol cho biết cuộc điều tra ban đầu chỉ ra rằng một địa chỉ thuộc sở hữu bên ngoài đã giành được quyền kiểm soát quản trị thông qua cơ chế quản trị đa chữ ký của nó.
Sau cuộc tấn công, những kẻ lợi dụng đã thực hiện một bản nâng cấp hợp đồng trái phép, cho phép rút tài sản bất hợp pháp. Điều này xảy ra ngoài các quy trình quản trị và vận hành dự định của Unleash.
Các tài sản được xác định là bị ảnh hưởng bao gồm WIP, USDC, WETH, stIP và vIP. Sau khi rút tiền, những kẻ khai thác đã chuyển các tài sản này thông qua cơ sở hạ tầng của bên thứ ba trước khi gửi chúng đến các địa chỉ bên ngoài.
Unleash xử lý việc khai thác lỗ hổng này như thế nào?
Trong thông báo của mình, nhóm phát triển Unleash Protocol cho biết không có bằng chứng nào cho thấy các hợp đồng, trình xác thực hoặc cơ sở hạ tầng cơ bản của Story Protocol bị xâm phạm. Họ cũng nói thêm rằng tác động dường như chỉ giới hạn ở các hợp đồng và quyền kiểm soát quản trị dành riêng cho Unleash.
Tuy nhiên, nhóm nghiên cứu đảm bảo với người dùng rằng cuộc điều tra vẫn đang tiếp diễn và tất cả các kết luận sẽ được xác nhận trước khi công bố chính thức.
Để ngăn ngừa rủi ro tiếp theo, họ đã tạm dừng tất cả các hoạt động của Unleash Protocol. Nhóm cũng lưu ý rằng họ đang hợp tác chặt chẽ với các chuyên gia an ninh độc lập và các nhà điều tra pháp y để xác định nguyên nhân gốc rễ.
Điều này được thực hiện song song với việc tiến hành rà soát toàn diện hoạt động ký nhiều chữ ký, thực tiễn quản lý khóa và các quy trình quản trị.
Do đó, người dùng được khuyến cáo nên tránh tương tác với các hợp đồng của Unleash Protocol và chỉ theo dõi các kênh thông tin chính thức của Unleash để nhận được thông tin cập nhật chính xác.
Đáng chú ý, lỗ hổng bảo mật đa chữ ký Unleash chỉ là vụ trộm tiền điện tử mới nhất trong số các vụ trộm gần đây. Như đã được đề cập trong một báo cáo của U.Today , một người dùng tiền điện tử gần đây đã mất 50 triệu USDT do bị lừa đảo giả mạo địa chỉ.
Trước cuộc tấn công này, một số kẻ tấn công đã khai thác một lỗ hổng bảo mật trong XWiki và DELMIA Apriso . Kết quả là, những kẻ khai thác đã khai thác tiền điện tử Monero (XMR) mà không được phép.
Trong một vụ lừa đảo gần đây khác, những kẻ xấu đã đánh cắp số tiền điện tử trị giá 773.000 đô la từ dự án DeFi Hyperdrive.
