## Le protocole Unleash victime d'une attaque entraînant une perte de 3,9 millions de dollars - Où se situe le problème ?

La société de sécurité blockchain PeckShield a récemment annoncé une attaque notable contre Unleash Protocol, une plateforme décentralisée opérant sur Story Protocol. Cette attaque a entraîné la perte d'environ 3,9 millions de dollars depuis le portefeuille des utilisateurs, suscitant des discussions sur la sécurité des systèmes de gouvernance dans la DeFi.

### Mécanisme d'attaque : compromission du contrôle multisig

Selon l'analyse détaillée de PeckShield, l'attaquant a exploité une vulnérabilité dans le système multisig d'Unleash Protocol pour obtenir un accès administrateur non autorisé. Après avoir obtenu ces droits, il a effectué une mise à niveau du contrat intelligent sans l'approbation de l'équipe centrale, créant ainsi une porte dérobée pour le retrait non autorisé d'actifs.

Ceci est une leçon sur l'importance du mécanisme multisig — un système qui requiert plusieurs signatures pour valider une transaction. Lorsqu'un contrôle multisig est exploité, cela désactive l'une des protections les plus importantes des protocoles DeFi.

### La voie des actifs volés

Après avoir transféré les fonds, l'attaquant a déplacé les actifs vers la blockchain Ethereum et a commencé à dissimuler ses traces. Les données on-chain montrent que 1.337,1 ETH ont été envoyés à Tornado Cash — un service de mixage de cryptomonnaies connu pour ses capacités à brouiller les traces des transactions.

Cette stratégie de dissimulation a été réalisée par des envois petits, allant de micro-transactions à des lots de 100 ETH, une méthode classique pour disperser les fonds et éviter la détection.

### Quels actifs ont été affectés ?

Unleash Protocol confirme que l'attaque a impacté plusieurs actifs principaux :
- **WIP** — jeton natif du protocole
- **USDC** — stablecoin
- **WETH** — Ether wrapped
- **stIP** — version staking de IP
- **vIP** — version vote de IP

Toutes ces retraits ont été effectués en dehors du processus de gouvernance normal, sans approbation interne.

### Impact limité et réponse rapide

Un point important est qu’Unleash Protocol a précisé que Story Protocol et son infrastructure principale restent entièrement sécurisés. Le problème concerne uniquement les contrats et systèmes de gouvernance propres à Unleash, ce qui réduit les inquiétudes quant à une faiblesse globale de l’écosystème.

Dès la détection de l’incident, Unleash Protocol a suspendu toutes ses opérations pour empêcher d’autres retraits. L’équipe collabore actuellement avec des experts en sécurité indépendants et mène une enquête légale pour identifier la cause profonde de l’intrusion.

### Avertissement aux utilisateurs

Actuellement, il est fortement conseillé aux utilisateurs de ne pas interagir avec aucun contrat d’Unleash Protocol jusqu’à nouvel avis officiel. C’est une étape cruciale pour que les développeurs réévaluent leurs mécanismes de sécurité et empêchent la répétition de ce type d’attaque.

### Questions clés sur l’incident

**Qu’est-ce que le "yanking" dans le contexte de la sécurité DeFi ?** Le "yanking" (ou exit scam) désigne le fait que les développeurs ou les personnes en contrôle fuient avec les fonds des utilisateurs. Cependant, dans ce cas précis, il s’agit d’une attaque externe, et non d’un vrai "yanking".

**Comment le multisig a-t-il été exploité ?** L’attaquant a obtenu le contrôle d’une ou plusieurs clés requises par le système multisig, lui permettant d’effectuer des transactions non autorisées.

**Quels actifs ont été perdus ?** Au total, 3,9 millions de dollars comprenant WIP, USDC, WETH, stIP et vIP ont été retirés du protocole.

**Le protocole Unleash peut-il se remettre ?** Cela dépendra des résultats de l’enquête légale et de la capacité à tracer les fonds. Cependant, les fonds envoyés à Tornado Cash seront très difficiles à suivre.