## Unleash Protocol 漏洞：$3,9 百萬資金如何被盜取

安全研究團隊 PeckShield 發現了在基於 Story Protocol 的去中心化平台 Unleash Protocol 上的嚴重事件。攻擊者利用多簽管理系統的漏洞，成功提取了約 $3,9 百萬的用戶資產。此事件凸顯了在 DeFi 生態系統中保護管理控制權的重要性。

## 攻擊解析：從未經授權存取到資金轉移

此次攻擊始於對 Unleash Protocol 多簽機制的攻破。攻擊者獲得了未經授權的管理權限，並部署了未經批准的智能合約更新，繞過了標準的批准流程。這使得攻擊者能直接控制協議，並在未經團隊內部許可的情況下提取資金。

在資產從協議中轉出後，攻擊者開始將被盜資金拆分成較小的部分，以便於追蹤。在以太坊區塊鏈上，記錄了 1 337,1 ETH 的存款，這些資金被轉入 Tornado Cash — 一個用於隱藏交易來源的隱私工具。多次存款 (從小額到每批 100 ETH )，顯然是為了通過混合器協議混淆資產，消除被盜資金與原始來源之間的聯繫。

## 受影響的資產類型

在此次漏洞中，幾個關鍵生態系統的代幣受到影響：WIP、USDC、WETH、stIP 及 vIP。所有這些資產都在未經授權的情況下被轉出，未經主要團隊的同意。Unleash Protocol 團隊強調，此次事件僅限於協議本身的合約 — Story Protocol、其驗證者以及基礎設施未受到影響。

## 平台行動與用戶建議

在發現漏洞後不久，Unleash Protocol 暫停了所有操作，以防止進一步損失。團隊已開始與獨立安全專家及司法專家合作調查。目前，強烈建議用戶在官方釋出修復漏洞的更新之前，暫時避免與 Unleash Protocol 的合約互動。

此事件再次強調定期進行安全審計、多重確認關鍵管理操作的重要性，以及在 DeFi 協議中實施適當監控管理權限的必要性。