Unleash Protocol 已披露其智能合約遭到未經授權的活動,導致用戶資金被提取和轉移。CertiK Alert 的調查顯示,在 Unleash Protocol 漏洞利用後,以太坊被存入了 Tornado Cash 賬戶。
Unleash Protocol 調查多重簽名漏洞
CertiK Alert 在 X 上披露,它檢測到有 1,337.1 個ETH(價值約 390 萬美元)轉入 Tornado Cash。該平臺將這筆轉賬與錢包地址 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3 關聯起來。
CertiK Alert補充說,這些資金可以追溯到從可能已被入侵的多重簽名賬戶中可疑提取的Wrapped ETH和Story代幣。
這份報告發布不久前,Unleash Protocol 宣佈正在調查一起導致用戶資金損失的漏洞事件。
#CertiKInsight 🚨
— CertiK Alert (@CertiKAlert) 2025年12月30日
我們檢測到從 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3 向 Tornado Cash 存入了 1337.1 ETH (約 390 萬美元)。
該基金的資金來源可疑,顯示有人從一個可能已被攻破的多重簽名賬戶中提取了 Wrapped ETH和 Story 代幣…… pic.twitter.com/YIFEAEwilc
Unleash Protocol 團隊表示,初步調查顯示,一個外部擁有的地址通過其多重簽名治理獲得了管理控制權。
攻擊發生後,攻擊者未經授權升級了合約,從而實現了未經授權的資產提取。此舉違反了Unleash既定的管理和運營流程。
受影響的資產包括 WIP、 USDC、WETH、stIP 和 vIP。在提現之後,攻擊者利用第三方基礎設施將這些資產橋接到外部地址。
Unleash 是如何管理漏洞的
Unleash Protocol 團隊在公告中表示,沒有證據表明 Story Protocol 合約、驗證器或底層基礎設施遭到破壞。他們還補充說,此次事件的影響似乎僅限於 Unleash 特有的合約和管理控制。
不過,該團隊向用戶保證,調查仍在進行中,所有結論將在最終公佈前得到確認。
為防止風險進一步擴大,他們已暫停所有“釋放協議”(Unleash Protocol)的運行。該團隊還表示,他們正與獨立的安全專家和取證調查人員密切合作,以確定根本原因。
此外,還將對多重簽名者的活動、密鑰管理實踐和治理流程進行全面審查。
因此,建議用戶不要與 Unleash Protocol 合約進行交互,並僅通過 Unleash 官方溝通渠道獲取準確更新。
值得注意的是,Unleash多重簽名漏洞只是近期眾多加密貨幣盜竊案中的最新一起。正如U.Today報道的那樣,一位加密貨幣用戶最近因地址欺騙詐騙損失了5000萬USDT 。
在此次攻擊之前,一些攻擊者利用了 XWiki 和 DELMIA Apriso 中的一個安全漏洞。結果,攻擊者未經許可挖掘了Monero(XMR) 加密貨幣。
在最近發生的另一起案件中,不法分子從 DeFi 項目 Hyperdrive 竊取了價值 773,000 美元的加密貨幣。
