Unleash Protocol a perdu 3,9 millions de dollars : l'attaque multisig et le parcours des fonds évaporés

Récemment, la société de sécurité blockchain PeckShield a détecté une faille de sécurité grave sur Unleash Protocol — une plateforme d’applications décentralisées développée sur l’infrastructure de Story Protocol. Selon le rapport, environ 3,9 millions de dollars de fonds utilisateur ont été dérobés par des attaquants, puis siphonnés vers Ethereum avant de continuer à “se déshabiller” via des outils anonymes.

Mode d’attaque

PeckShield a révélé que l’attaquant s’était directement attaqué au système de gestion multisig d’Unleash Protocol. En contrôlant les clés de gestion, l’intrus a pu déployer une mise à jour du contrat intelligent sans l’approbation de l’équipe principale. Il s’agit d’une faille de conception grave dans les mécanismes de protection du protocole.

Après la mise à jour du contrat, l’attaquant a procédé au retrait direct des actifs d’Unleash Protocol. La valeur totale des actifs dérobés s’élève à 3,9 millions de dollars.

Discrétion et sortie des fonds

Un détail notable de cette attaque est la façon dont l’attaquant a traité les fonds volés. Les données blockchain montrent que l’argent a été transféré vers le réseau Ethereum, puis une grande quantité — précisément 1.337,1 ETH — a été envoyée à Tornado Cash, un service de mixage connu pour ses capacités d’anonymisation des transactions blockchain.

La stratégie de “se déshabiller” de l’attaquant a été effectuée par petites étapes, allant de quelques ETH à des envois de 100 ETH. Cette approche progressive vise à réduire la détection et le suivi en chaîne.

Actifs affectés

Dans une déclaration officielle, Unleash Protocol a publié la liste des tokens et actifs retirés du protocole :

• WIP
• USDC
• WETH
• stIP
• vIP

Tous ces retraits ont été effectués en dehors des règles de gouvernance préalablement approuvées, sans aucune autorisation interne de l’équipe.

Story Protocol reste sécurisé

Un point important souligné par Unleash Protocol est que l’attaque n’a affecté que ses contrats spécifiques et son système de gouvernance. Aucune preuve ne suggère que l’infrastructure centrale de Story Protocol, les nœuds de validation ou d’autres composants aient été compromis. Cela limite l’étendue des dégâts et indique que le problème réside au niveau de l’application, et non de l’infrastructure sous-jacente.

Réactions et mesures correctives

Dès la détection de l’incident, Unleash Protocol a décidé de suspendre toutes ses activités pour éviter d’autres pertes. L’équipe travaille actuellement avec des experts en sécurité indépendants pour mener une enquête approfondie.

Les utilisateurs sont invités à éviter toute interaction avec les contrats d’Unleash Protocol jusqu’à nouvel ordre officiel.

Foire aux questions

Pourquoi le multisig d’Unleash Protocol a-t-il été compromis ?
Le rapport ne révèle pas la cause exacte, mais indique que l’attaquant a pu contrôler les clés de gestion, possiblement via une erreur de configuration, une faille de sécurité ou des vecteurs d’attaque encore inconnus.

Les utilisateurs pourront-ils récupérer leur argent ?
Ce n’est pas encore clair. Les fonds ont été envoyés à Tornado Cash, ce qui complique leur traçage et leur récupération. La récupération dépendra des résultats de l’enquête judiciaire.

D’autres plateformes sont-elles affectées ?
Non. L’attaque est limitée à Unleash Protocol. Story Protocol et d’autres contrats sur cette plateforme fonctionnent toujours normalement.

Que doivent faire les utilisateurs d’Unleash ?
Cesser toute interaction avec les contrats d’Unleash jusqu’à nouvel ordre. Si vous avez des fonds bloqués dans le protocole, attendez les annonces de l’équipe concernant les options de compensation ou de récupération.