Piratage du protocole Unleash : 3,9 millions de dollars volés suite à une compromission de la gouvernance multisignature

Le protocole Unleash, qui se présente comme une solution universelle de gestion de la propriété intellectuelle et de marché monétaire basée sur le protocole Story, a été victime d'une cyberattaque ayant entraîné des pertes d'environ 3,9 millions de dollars. L'équipe du projet l'a annoncé officiellement sur la plateforme X, information confirmée par les analystes indépendants de PeckShield.

D'après les données de l'enquête, l'attaquant a pris le contrôle administratif des contrats intelligents d'Unleash via un portefeuille multisignature, ce qui lui a permis d'effectuer une mise à jour non autorisée. Ceci a ouvert la voie au retrait d'actifs, notamment WIP, USDC, WETH, stIP et vIP. Après l'attaque, les fonds ont transité par une infrastructure tierce et ont été transférés vers des adresses externes. En particulier, le pirate a transféré 1 337,1 ETH vers le protocole Tornado Cash afin d'anonymiser la transaction, ce qui complique le suivi ultérieur.

L'équipe d'Unleash a immédiatement suspendu toutes les opérations du protocole afin de prévenir tout risque supplémentaire et a entamé une collaboration avec des experts indépendants en sécurité et en criminalistique numérique. Elle a souligné que l'incident était limité aux contrats d'Unleash et n'affectait ni l'infrastructure sous-jacente du protocole Story, ni les validateurs, ni aucun autre élément connexe.

« Nous prenons cet incident très au sérieux et sommes conscients de son impact sur nos utilisateurs et partenaires. Notre priorité est de comprendre pleinement la situation, de communiquer en toute transparence et de définir les mesures de rétablissement », indique le communiqué officiel.

PeckShield indique que l'attaque a été provoquée par une vulnérabilité du système de gouvernance et d'autorisations, notamment au niveau du mécanisme de signature multiple, censé garantir une prise de décision décentralisée. Ce n'est pas la première fois que la signature multiple constitue une faille : des exploits similaires ont été recensés dans d'autres projets DeFi, où des compromissions majeures ont entraîné des pertes considérables. Selon les rapports du secteur, en 2025, les pertes totales dues aux piratages de la DeFi ont déjà dépassé le milliard de dollars, principalement en raison de vulnérabilités liées à la gouvernance et aux mises à jour des contrats.

La communauté a réagi de manière ambiguë : certains utilisateurs de X qualifient l’incident d’ escroquerie et mettent en doute la fiabilité du projet, tandis que d’autres réclament un renforcement des mesures de sécurité et de gouvernance. Au moment de la rédaction de cet article, le token du protocole n’avait pas subi de baisse significative, car Unleash ne dispose pas de son propre token liquide sur les marchés ouverts, mais cela pourrait affecter la confiance dans l’écosystème Story Protocol dans son ensemble.

L'équipe s'engage à fournir des mises à jour une fois l'enquête terminée et conseille aux utilisateurs de s'abstenir d'interagir avec les contrats Unleash jusqu'à l'annonce officielle. Cet incident souligne une fois de plus l'importance des audits, de la rotation des clés dans les contrats multisignatures et de l'utilisation d'outils comme Revoke.cash pour la gestion des permissions afin de minimiser les risques dans la finance décentralisée (DeFi).