Unleash Protocol a confirmé qu'il y a eu une violation majeure de la sécurité due à une action non autorisée sur ses smart contracts, entraînant le retrait et le transfert de fonds des utilisateurs. Cet incident a été détecté plus tôt dans la journée et a déjà conduit à la suspension automatique de toutes les opérations d’Unleash Protocol, tandis que l’équipe tente de contenir le problème et d’en déterminer la cause.
Dans une notification officielle d’incident publiée par l’équipe Unleash, l’attaque a été initiée via la gouvernance du protocole et la structure des permissions. Les premiers éléments indiquent qu’une adresse externe a également obtenu le contrôle administratif via la structure de gouvernance multisig d’Unleash. Grâce à cet accès, l’attaquant a procédé à une mise à niveau non autorisée du contrat, permettant ainsi des retraits au-delà des processus de gouvernance et d’exploitation du projet.
Mise à niveau non autorisée du contrat ayant permis des retraits d’actifs
La mise à niveau compromise aurait permis l’extraction de diverses ressources stockées dans les smart contracts d’Unleash Protocol. Les actifs considérés comme impactés à ce stade de l’enquête sont WIP, USDC, WETH ainsi que les tokens liés au staking, à savoir stIP et vIP. Les retraits ont été transférés via des infrastructures tierces, après quoi les actifs ont été déplacés vers des adresses externes, rendant leur récupération immédiate difficile.
Unleash a également souligné que de telles actions n’ont pas été approuvées par l’équipe centrale, mais ont eu lieu dans le cadre des contrôles de gouvernance, de manière totalement involontaire. Selon la direction du protocole, l’incident peut être décrit comme une défaillance critique des mécanismes de protection administrative, mais pas comme une attaque à plus grande échelle sur l’infrastructure.
L’ampleur de l’impact semble limitée
Dans leur première évaluation, l’équipe d’Unleash Protocol a écrit qu’aucune preuve de compromission n’a été trouvée dans les contrats Story Protocol, les validateurs ou l’infrastructure sous-jacente pour le moment. L’effet semble limité aux contrats et restrictions administratives propres à Unleash, ce qui indique que le problème ne s’est pas étendu à l’écosystème plus large.
L’équipe a néanmoins averti que l’enquête était toujours en cours et qu’avant toute conclusion, tous les résultats seraient confirmés. Les données on-chain de l’incident sont conservées afin de faciliter l’enquête médico-légale qui sera utilisée pour les rapports ultérieurs.
Réponse d’urgence et enquête en cours
Unleash Protocol a interrompu toutes ses opérations comme mesure de réponse afin de s’assurer que l’exposition de ses utilisateurs et d’autres actifs ne soit pas davantage compromise. L’équipe collabore désormais étroitement avec des experts en sécurité indépendants et des enquêteurs spécialisés afin de déterminer comment le contrôle administratif a été obtenu et s’il existe d’autres vulnérabilités.
L’activité des signataires multisig, les pratiques de gestion importantes et les processus de gouvernance font l’objet d’un examen approfondi. Unleash Protocol a également confirmé s’être synchronisé avec les partenaires de l’écosystème et les fournisseurs d’infrastructure, notamment pour le bridging et le routage des transactions, afin de tracer les flux de fonds et d’identifier d’éventuelles mesures d’atténuation.
Conseils aux utilisateurs et mesures de sécurité
Unleash a encouragé les utilisateurs à éviter toute interaction avec les contrats Unleash Protocol jusqu’à nouvel ordre. L’équipe a également insisté sur le fait que les individus ne doivent se fier qu’aux canaux de communication officiels pour se tenir informés et éviter les pièges de la désinformation ou de l’usurpation d’identité qui accompagnent généralement les incidents médiatisés.
Davantage de directives à destination des utilisateurs affectés seront communiquées une fois les résultats de l’enquête confirmés et les mesures appropriées identifiées. À ce stade, Unleash n’a pas encore annoncé de programme spécifique de remédiation ou de compensation, cette question restant à l’étude.
Engagement envers la transparence et la responsabilité
L’équipe Unleash Protocol a publié une déclaration reconnaissant que l’incident a affecté des utilisateurs et partenaires et que la situation est prise avec le plus grand sérieux. Le personnel a réaffirmé son souhait de maintenir un canal de communication ouvert et une divulgation responsable à mesure que de nouvelles informations seront disponibles.
Bien que l’incident mette en évidence les vulnérabilités persistantes des contrôles de gouvernance et d’administration des protocoles décentralisés, Unleash présente cette réponse comme une mesure essentielle pour renforcer la confiance et sa posture de sécurité. D’autres évolutions seront communiquées au fur et à mesure de l’avancée de l’enquête.
