Unleash Protocol 面临安全漏洞批评：通过 Tornado Cash 转移了 3.9 百万美元

Unleash Protocol知识产权融资协议遭受重大安全攻击，导致约390万美元的损失。根据区块链安全公司PeckShield的分析，被盗的美元被引导至加密货币混合服务，以掩盖其数字轨迹。

事件归因于协议治理机制中的关键漏洞，使攻击者获得了对智能合约系统的未授权管理权限。

多签治理系统的漏洞如何导致盗窃

PeckShield的技术分析和LookonChain的链上研究人员一致认为，此次攻击并非源于Story Protocol（基础协议）中的漏洞，而是Unleash治理架构中的特定缺陷。

根据协议的官方声明，“今天早些时候，我们检测到与智能合约相关的未授权活动，导致用户资金被提取和转移。我们的初步调查显示，一家外部控制的地址通过多签治理系统获得了管理权限，从而进行了未授权的合约更新。”

此类攻击在去中心化金融（DeFi）平台中尤为危险，尤其是在治理作为主要控制机制的情况下。多签本应需要多方批准，但此次被攻破，允许在未经过标准治理程序的情况下进行合约更新。

美元的流向：从Unleash到Tornado Cash

受影响的资产包括生态系统中的多个代币：WIP、USDC、WETH、stIP 和 vIP。在从协议中提取这些美元后，资金立即通过第三方基础设施转移到外部地址。

攻击者特别向Tornado Cash——一个广泛用于掩盖区块链交易历史的加密货币混合服务——存入了1,337.1 ETH，按当前汇率约合320万美元。这种洗钱技术在加密货币盗窃中非常常见，几乎不可能追踪到被盗美元的来源，一旦进入Tornado Cash协议。

从受损协议到Tornado Cash的转账速度表明这是一次协调行动，可能预先准备了目标地址。

Story Protocol与知识产权融资生态系统

Unleash Protocol在Story Protocol生态系统内运作，后者是一个旨在将知识产权权益代币化的平台。这些平台的目标是让媒体、品牌和创意作品上链，进行代币化、授权或作为去中心化应用中的金融原语使用。

虽然此次攻击直接影响了Unleash，但调查确认Story Protocol本身并未存在漏洞。问题仅出在Unleash的治理层面，而非底层协议。然而，此事件凸显了在DeFi生态系统中治理系统保护不足带来的风险。

紧急应对措施及用户应采取的步骤

在发现未授权活动后，Unleash Protocol立即暂停所有操作，并继续进行调查。协议正与独立安全专家和取证调查人员合作，以确定治理漏洞的根本原因。

已强烈建议用户不要与Unleash协议的合约交互，直到另行通知。存放在协议中的美元资金可能处于风险之中，直到情况完全澄清。所有官方信息均通过协议的官方渠道、社交媒体和直接沟通发布。

对DeFi安全的启示与关键教训

此次事件强调了去中心化生态系统中的一个基本真理：治理安全与代码安全同样重要。通过管理漏洞而非技术漏洞造成的390万美元损失，强化了即使在多签系统中，权力集中也可能被利用。

对于管理知识产权代币及相关金融权益的平台，治理标准必须更加严格。此次Unleash Protocol事件提醒DeFi社区，用户的资金只有在管理结构免受内部协调攻击和破坏时才是安全的。

行业将继续从这些事件中学习，认识到去中心化治理机制需要持续监控和定期安全审计的必要性。