loading...
Unleash Protocol 近期披露遭遇严重安全漏洞,造成约 1337 枚 ETH(估值接近 400 万美元)被非法转移。事件起因是攻击者未经授权获取了项目多重签名治理系统的控制权,该异常行为最初由链上活动监测发现,随后项目方确认漏洞属实,并立即暂停协议运行,启动全面取证调查。
据项目方通报,一个外部持有地址通过多重签名机制获得管理权限,并执行了未经批准的合约升级操作。这一升级绕过了协议原本设定的治理审批流程,使攻击者得以在无团队授权的情况下提取用户资产。团队强调:“初步调查显示,涉事地址利用多重签名治理系统取得控制权后实施了非授权合约变更,整个过程完全违背既定治理规则。”
实际操作中,攻击者成功绕过内部风控机制,将用户资金直接从协议中转出。尽管具体攻击手段仍在核查,但项目方指出,漏洞可能源于社会工程攻击或其他针对治理权限的安全威胁。值得注意的是,区块链安全机构监测显示,被盗资产已跨链至以太坊网络,并通过知名混币器 Tornado Cash 进行清洗。数据显示,攻击者以每次 100 ETH 的固定额度分批转移,这种模式高度符合典型洗钱特征。
另一安全团队发现,涉及封装 ETH 及知识产权类代币的可疑提现行为均被转入外部持有地址。这些资产在进入混币流程前已完成跨链或兑换操作,大幅增加溯源难度。相关地址疑似通过 SafeProxyFactory 工具创建,该工具常用于部署多重签名钱包,进一步揭示攻击者对治理基础设施的精准操控。
Unleash 方面明确表示,此次事件仅影响其自身合约与管理系统,未发现底层协议、验证节点或基础架构受到破坏。声明指出:“问题根源在于 Unleash Protocol 的治理框架与权限分配机制,影响范围限于特定合约及管理权限。”
作为建立在新兴 Layer 1 网络 Story Protocol 上的重要应用之一,本次事件再次引发对应用层安全设计的关注。尽管底层链本身保持稳定,但依赖少数签名者或链下治理流程的模式,仍存在显著单点故障风险。
即便技术底层未受损,应用层漏洞也可能对整个生态带来长期声誉冲击。投资者信心一旦动摇,将直接影响项目后续融资与用户参与度。
目前,项目方已建议所有用户暂停与协议的交互,并承诺将在调查完成后公布补救方案与资产追回进展。然而,鉴于资金已通过混币器分散转移,且结合跨链操作,追索前景极为黯淡。除非在洗钱环节发现中心化节点,否则几乎无法实现资产返还。
此次事件凸显:随着 DeFi 协议不断引入可升级性与集中管理功能,治理权限正逐步取代智能合约代码缺陷,成为攻击者的首要目标。如何构建更透明、去中心化的治理机制,已成为行业亟需解决的核心议题。
随着市场变化,选择安全高效的平台至关重要。币安和欧易提供多币种交易、低手续费和稳定服务,用户可通过官网或 App下载 快速注册,畅享便捷投资体验。
783
216
214
754
789
419
870
144
385
268
