Unleash Protocol 已披露其智能合约涉及未经授权的活动,导致用户资金被提取和转移。CertiK Alert 的调查显示,在 Unleash Protocol 被攻击后,有用户向 Tornado Cash 存入了以太坊。
CertiK Alert 在 X 上披露,检测到1,337.1 ETH(价值约390万美元)被转入 Tornado Cash。该平台将这笔转账与钱包地址 0xc946981F5dFBFA10cf858B95d51Fc06DCD15BfE3 关联。
CertiK Alert 还补充说,这些资金可以追溯到可能被攻破的多签钱包中可疑的 Wrapped ETH 和 Story 代币的提取。
该报告发布不久,Unleash Protocol 宣布正在调查一起导致用户资金损失的漏洞。
Unleash Protocol 团队表示,初步调查显示,外部拥有的地址通过其多签治理获得了管理控制权。
在攻击发生后,攻击者进行了未经授权的合约升级,允许未授权的资产提取。这一行为超出了 Unleash 既定的治理和操作流程。
被影响的资产包括 WIP、USDC、WETH、stIP 和 vIP。在提取后,攻击者利用第三方基础设施将这些资产桥接,然后转移到外部地址。
在公告中,Unleash Protocol 团队表示,目前没有证据显示 Story Protocol 合约、验证者或基础设施受到破坏。他们还补充说,影响似乎仅限于 Unleash 特定的合约和管理控制。
团队同时保证,调查仍在进行中,所有结论将在最终披露前确认。
为防止进一步风险,他们已暂停所有 Unleash Protocol 的操作。团队还表示,正与独立安全专家和取证调查员密切合作,以查明根本原因。
此外,他们还将对多签签名者活动、密钥管理实践和治理流程进行全面审查。
因此,用户被建议避免与 Unleash Protocol 合约互动,并仅关注官方 Unleash 通讯渠道以获取准确的最新信息。
值得注意的是,Unleash 多签漏洞只是近期加密货币盗窃事件中的最新一例。据 U.Today 报道,一名加密货币用户最近在地址欺骗诈骗中损失了5000万美元的 USDT。
在此次攻击之前,一些攻击者利用 XWiki 和 DELMIA Apriso 的安全漏洞,非法挖掘了 Monero (XMR) 加密货币。
在另一项近期方案中,恶意行为者从 DeFi 项目 Hyperdrive 中盗取了价值77.3万美元的加密货币。
