-
PeckShield signale une faille de 3,9 millions de dollars touchant Unleash Protocol à travers un contrôle de gouvernance multisig compromis.
-
Les fonds volés ont été transférés vers Ethereum, avec 1 337,1 ETH déposés dans le mixeur Tornado Cash.
-
Unleash Protocol a mis ses opérations en pause, lancé une enquête forensique et confirmé que l’infrastructure de Story Protocol n’a pas été affectée.
La société de sécurité blockchain PeckShield a rapporté un piratage majeur impliquant Unleash Protocol, une plateforme décentralisée construite sur Story Protocol, au cours duquel un attaquant a vidé environ 3,9 millions de dollars de fonds utilisateurs.
Voici comment le piratage s’est produit. D’après le rapport de PeckShield.
Comment le piratage d’Unleash Protocol a-t-il eu lieu ?
Selon PeckShield, l’attaquant a ciblé le système de gouvernance multisignature d’Unleash Protocol.
Ce faisant, l’attaquant a obtenu un accès administrateur non autorisé et a imposé une mise à niveau du contrat qui n’avait pas été approuvée par l’équipe principale. Ce changement a permis le retrait direct de fonds depuis le protocole.
Après avoir retiré les fonds, l’attaquant a transféré les actifs vers Ethereum et a commencé à les diviser en plus petites portions.
Les données on-chain montrent que 1 337,1 ETH ont été déposés dans Tornado Cash, un outil de confidentialité souvent utilisé pour dissimuler la traçabilité des transactions.
Les dépôts répétés, allant de petites quantités à des lots de 100 ETH, semblent conçus pour masquer l’origine des fonds volés.
Quels actifs ont été touchés par la faille
Dans son avis officiel d’incident, Unleash Protocol a confirmé que plusieurs actifs ont été impactés lors de l’attaque. Il s’agit notamment de WIP, USDC, WETH, stIP et vIP. L’équipe a souligné que les retraits ont eu lieu en dehors des règles normales de gouvernance et sans approbation interne.
Il est important de noter qu’Unleash a précisé qu’aucune preuve n’indique une compromission de Story Protocol, de ses validateurs ou de son infrastructure principale. Le problème semble se limiter strictement aux contrats spécifiques à Unleash et aux contrôles d’administration.
Réaction immédiate d’Unleash Protocol
Après la découverte, Unleash Protocol a immédiatement mis toutes ses opérations en pause afin d’éviter de nouveaux dommages. L’équipe travaille désormais avec des experts en sécurité indépendants et des enquêteurs forensiques pour identifier la cause racine.
Les utilisateurs sont invités à ne pas interagir avec les contrats d’Unleash Protocol jusqu’à la publication de nouvelles informations officielles.
Ne manquez jamais l’actualité du monde crypto !
Restez informé grâce aux dernières actualités, analyses d’experts et mises à jour en temps réel sur les tendances de Bitcoin, des altcoins, DeFi, NFT et bien plus encore.
FAQ
Le piratage a eu lieu après qu’un attaquant a obtenu un contrôle administrateur non autorisé via le système multisignature et a imposé une mise à niveau de contrat non approuvée.
Environ 3,9 millions de dollars de fonds utilisateurs ont été drainés, incluant de l’ETH et plusieurs actifs tokenisés détenus dans les contrats d’Unleash Protocol.
La faille a touché WIP, USDC, WETH, stIP et vIP, tous retirés en dehors de la gouvernance approuvée et sans autorisation interne.
Les utilisateurs doivent éviter toute interaction avec les contrats Unleash jusqu’à la publication d’informations officielles, alors que l’équipe poursuit ses enquêtes forensiques et de sécurité.
