本站报道:

根据链上动态和多家安全公司的报告,一名黑客正试图利用以太坊上的 Tornado Cash 协议,洗钱从 Unleash 协议中窃取的约 1337 个 ETH,价值近 400 万美元。

周二早些时候,Unleash披露了一起安全漏洞事件,造成约390万美元的损失。该项目已暂停运营,并开始对此次攻击进行取证分析,攻击似乎源于多重签名机制遭到破坏。

Unleash 在 X 上写道:“我们的初步调查显示,一个外部拥有的地址通过 Unleash 的多重签名治理获得了管理控制权,并进行了未经授权的合约升级。此次升级使得资产提取未经 Unleash 团队批准,并且发生在我们预期的治理和操作程序之外。

换句话说,攻击者未经授权获得了对 Unleash Protocol 治理系统的管理控制权,可能是通过社会工程网络钓鱼计划或其他安全漏洞,从而使他们能够执行绕过正常检查的升级,从协议中提取用户资金。

受影响的资产包括 WIP(Wrapped IP)、USDC、WETH、stIP 和 vIP,其中大部分已被桥接到以太坊并发送到 Tornado Cash,试图掩盖审计追踪并增加资产追回的难度。Peckshield 指出,攻击者似乎发送了许多资产。100 ETH 块到流行的加密货币混合服务。

CertiK 开始标记可疑的 Wrapped ETH 和 IP 代币提现被发送到外部账户似乎是使用以下方式设置的:SafeProxyFactory.

Unleash 表示:“该事件源于 Unleash Protocol 的治理和权限框架”,并补充说,“影响似乎仅限于 Unleash 特有的合约和管理控制”,并且“没有证据表明 Story Protocol 合约、验证者或底层基础设施受到损害”。

Unleash 是基于 Story Protocol 构建的较为知名的应用之一,Story Protocol 是一个相对较新的 Layer 1 协议,专注于代币化知识产权的应用场景。Story 背后的 PIP Labs 拥有总共筹集了1.4亿美元资金。

Unleash团队已警告用户不要与该协议进行交互,并表示一旦获得可靠信息,将立即分享有关此次攻击和潜在补救措施的最新消息。The Block已联系Unleash团队寻求置评,但尚未收到回复。