【安全资讯】Unleash Protocol遭多签劫持，黑客盗取390万美元加密货币

概要：

在去中心化金融（DeFi）领域，智能合约的安全问题再次引发关注。近日，专注于知识产权代币化的Unleash Protocol平台遭遇严重安全事件，攻击者通过劫持其多签治理系统，执行了未经授权的合约升级，最终盗取了价值约390万美元的各类加密资产。这一事件不仅暴露了DeFi协议在治理机制上的潜在脆弱性，也凸显了加密货币洗钱工具对资产追回的阻碍。

主要内容：

根据Unleash Protocol团队的公告，攻击者通过一个外部拥有的地址，获得了其多签治理系统的管理员控制权。多签系统本意是要求多个密钥持有者共同授权才能执行关键操作，但攻击者显然获得了足够的签名权限。利用这一权限，攻击者执行了一次未经团队批准的智能合约升级，该升级解锁了资产的提款功能。

技术层面，此次攻击的核心在于攻击者成功控制了协议的管理密钥，从而绕过了正常的多重签名审批流程。被升级的智能合约允许攻击者提取平台上的多种资产，包括WIP、USDC、WETH、stIP和vIP。区块链安全公司PeckShieldAlert分析确认，被盗资产总价值约为390万美元。

得手后，攻击者迅速通过第三方跨链桥转移资产，以降低可追溯性，并将总计1337枚ETH的赃款存入了Tornado Cash混币器。Tornado Cash是一种旨在增强交易隐私的服务，但因其常被用于洗钱而受到美国制裁，并于2025年下架。这极大地增加了执法部门追踪和冻结被盗资金的难度。

目前，Unleash Protocol已暂停所有运营，并联合外部安全专家展开调查，以确定漏洞根源并评估恢复方案。平台已警告用户暂时不要与其合约进行交互。此次事件再次为DeFi行业敲响了安全警钟，凸显了强化治理机制和私钥管理的重要性。