Unleash Protocol 已披露其智能合约遭到未经授权的活动,导致用户资金被提取和转移。CertiK Alert 的调查显示,在 Unleash Protocol 漏洞利用后,以太坊被存入了 Tornado Cash 账户。
Unleash Protocol 调查多重签名漏洞
CertiK Alert 在 X 上披露,它检测到有 1,337.1 个ETH(价值约 390 万美元)转入 Tornado Cash。该平台将这笔转账与钱包地址 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3 关联起来。
CertiK Alert补充说,这些资金可以追溯到从可能已被入侵的多重签名账户中可疑提取的Wrapped ETH和Story代币。
这份报告发布不久前,Unleash Protocol 宣布正在调查一起导致用户资金损失的漏洞事件。
#CertiKInsight 🚨
— CertiK Alert (@CertiKAlert) 2025年12月30日
我们检测到从 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3 向 Tornado Cash 存入了 1337.1 ETH (约 390 万美元)。
该基金的资金来源可疑,显示有人从一个可能已被攻破的多重签名账户中提取了 Wrapped ETH和 Story 代币…… pic.twitter.com/YIFEAEwilc
Unleash Protocol 团队表示,初步调查显示,一个外部拥有的地址通过其多重签名治理获得了管理控制权。
攻击发生后,攻击者未经授权升级了合约,从而实现了未经授权的资产提取。此举违反了Unleash既定的管理和运营流程。
受影响的资产包括 WIP、 USDC、WETH、stIP 和 vIP。在提现之后,攻击者利用第三方基础设施将这些资产桥接到外部地址。
Unleash 是如何管理漏洞的
Unleash Protocol 团队在公告中表示,没有证据表明 Story Protocol 合约、验证器或底层基础设施遭到破坏。他们还补充说,此次事件的影响似乎仅限于 Unleash 特有的合约和管理控制。
不过,该团队向用户保证,调查仍在进行中,所有结论将在最终公布前得到确认。
为防止风险进一步扩大,他们已暂停所有“释放协议”(Unleash Protocol)的运行。该团队还表示,他们正与独立的安全专家和取证调查人员密切合作,以确定根本原因。
此外,还将对多重签名者的活动、密钥管理实践和治理流程进行全面审查。
因此,建议用户不要与 Unleash Protocol 合约进行交互,并仅通过 Unleash 官方沟通渠道获取准确更新。
值得注意的是,Unleash多重签名漏洞只是近期众多加密货币盗窃案中的最新一起。正如U.Today报道的那样,一位加密货币用户最近因地址欺骗诈骗损失了5000万USDT 。
在此次攻击之前,一些攻击者利用了 XWiki 和 DELMIA Apriso 中的一个安全漏洞。结果,攻击者未经许可挖掘了Monero(XMR) 加密货币。
在最近发生的另一起案件中,不法分子从 DeFi 项目 Hyperdrive 窃取了价值 773,000 美元的加密货币。
