## Unleash Protocol 遭遇攻擊，損失約3,9百萬美元 - 問題出在哪裡？

區塊鏈安全公司 PeckShield 剛剛公布了一起針對 Unleash Protocol 的重大攻擊事件，該平台是一個在 Story Protocol 上運行的去中心化平台。此次攻擊導致用戶錢包損失約3,9百萬美元，引發了對 DeFi 管理系統安全性的討論。

### 攻擊機制：多重簽名控制被入侵

根據 PeckShield 的詳細分析，攻擊者利用了 Unleash Protocol 多重簽名系統的漏洞，取得了未經授權的管理員權限。在獲得這些權限後，他們進行了智能合約的升級，未經核心團隊同意，為非法提取資產打開了大門。

這是一個關於多重簽名機制重要性的教訓——該系統要求多個簽名來確認交易。當多重簽名控制被攻破時，便會失去 DeFi 協議中最重要的安全層之一。

### 被盜資產的流向

在成功提取資金後，攻擊者將資產轉移到以太坊區塊鏈，並開始進行掩飾。鏈上數據顯示，1,337.1 ETH 被送入 Tornado Cash——一個以模糊交易痕跡聞名的混幣服務。

這種掩飾策略通過多次小額轉帳實現，從微額交易到每次100 ETH的批次，這是一種經典的資金分散和避免追蹤的方法。

### 受影響的資產

Unleash Protocol 確認此次攻擊影響了以下主要資產：
- **WIP** — 協議的原生代幣
- **USDC** — 穩定幣
- **WETH** — 包裹以太幣
- **stIP** — IP 的質押版本
- **vIP** — IP 的投票版本

所有這些提取行為都未經正常的治理流程批准，沒有內部授權。

### 影響範圍與快速反應

一個重要的細節是，Unleash Protocol 明確表示 Story Protocol 及其核心基礎設施仍然完全安全。問題僅集中在 Unleash 的合約和治理系統，降低了對整個生態系統脆弱的擔憂。

在發現問題後，Unleash Protocol 已立即暫停全部運作，以防止進一步的資金被提取。團隊目前正與獨立安全專家合作，進行法醫調查，以確定入侵的根本原因。

### 用戶提醒

目前，強烈建議用戶暫時不要與任何 Unleash Protocol 的合約互動，直到官方發布下一次公告。這是開發者重新評估安全機制，確保此類攻擊不再重演的重要階段。

### 主要問題與疑問

**在 DeFi 安全中，"退出"（exit scam）是什麼？** 退出詐騙 (或 exit scam) 指的是開發者或擁有權限的人在拿到資金後突然消失。然而，在這次事件中，這是一次外部攻擊，並非真正的退出詐騙。

**多重簽名是如何被入侵的？** 攻擊者取得了多重簽名系統所需的一個或多個密鑰的控制權，使他們能夠執行未經授權的交易。

**哪些資產被損失？** 總計約3,9百萬美元的資產，包括 WIP、USDC、WETH、stIP 和 vIP，已被提取出來。

**Unleash Protocol 能否恢復？** 這取決於法醫調查的結果以及追蹤資金的能力。然而，送入 Tornado Cash 的資金將很難追蹤。