## Unleash Protocol 漏洞：$3.9百万资金通过管理漏洞被转出

安全研究机构 PeckShield 发现了基于 Story Protocol 的去中心化平台 Unleash Protocol 的严重事件。恶意攻击者利用多签管理系统的漏洞，成功转出了约 $3.9百万 用户资产。此次事件凸显了在 DeFi 生态系统中保护管理控制的重要性。

## 攻击解析：从未授权访问到资金转出

此次攻击始于对 Unleash Protocol 多签机制的攻破。攻击者获得了未授权的管理权限，并实施了未经批准的智能合约更新，绕过了标准的审批流程。这使得攻击者可以直接控制协议，并在没有团队内部授权的情况下将资金从合约中转出。

在资金被转出后，攻击者开始将被盗资金拆分成小额部分，以增加追踪难度。在以太坊区块链上，记录了以 1 337.1 ETH 形式的存款，这些存款进入了 Tornado Cash——一种用于隐藏交易来源的隐私工具。多次存款 (从小额到每批 100 ETH )，显然是通过混合器协议对资产进行混淆，以消除被盗资金与原始来源之间的联系。

## 受影响的资产

在漏洞利用过程中，多个关键生态系统的代币被攻破：WIP、USDC、WETH、stIP 和 vIP。这些资产都在未经批准的管理之外被转出，未经过核心团队的同意。Unleash Protocol 团队强调，此次事件仅限于协议本身的合约——Story Protocol，其验证者和基础基础设施未受到影响。

## 平台措施与用户建议

漏洞被发现后，Unleash Protocol 立即暂停了所有操作，以防止进一步损失。团队已开始与安全专家和司法专家合作展开调查。目前，强烈建议用户在官方发布修复漏洞的更新之前，避免与 Unleash Protocol 的合约交互。

此次事件再次强调了定期安全审计、关键操作的多重确认以及对 DeFi 协议中管理权限的有效监控的重要性。