Aller au contenu
Fondé MMXXVIVol. VI · № 287RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 257Attaque de gouvernance

Détournement de la Gouvernance Multisig d'Unleash Protocol

Un attaquant a pris le contrôle administratif multisig d'Unleash Protocol, imposé une mise à jour de contrat non autorisée et siphonné environ 3,9 M USD sur la plateforme de PI basée sur Story.

Date
Victime
Unleash Protocol
Chaîne(s)
Story
Statut
Fonds dérobés

Le 30 décembre 2025, Unleash Protocol — une plateforme on-chain de propriété intellectuelle bâtie sur Story — a été siphonnée d'environ 3,9 millions de dollars après qu'un attaquant a détourné ses contrôles de gouvernance multisig et imposé une mise à jour de contrat non autorisée ouvrant la voie à des retraits d'actifs.

Ce qui s'est passé

Unleash a détecté une activité non autorisée sur ses contrats intelligents le 30 décembre 2025. Selon PeckShield, l'attaquant a obtenu suffisamment de pouvoir de signature pour agir en tant qu'administrateur du système de gouvernance multisig du protocole, en exploitant des faiblesses dans la façon dont les autorisations d'administration étaient appliquées. Fort de cet accès, l'attaquant a imposé une mise à jour de contrat que l'équipe centrale n'avait jamais validée, dont la nouvelle logique permettait des retraits hors des procédures de gouvernance prévues. Plusieurs actifs ont été emportés au passage, dont WIP, USDC, WETH, stIP et vIP. Le schéma — s'emparer du contrôle administratif puis imposer une mise à jour malveillante pour vider la trésorerie — rappelle la prise de gouvernance d'Atlantis Loans, où un rôle d'administrateur capturé a été transformé en voie de retrait immédiate.

Conséquences

L'attaquant a transféré les fonds volés vers Ethereum et acheminé 1 337,1 ETH dans Tornado Cash, le mélangeur sanctionné par l'OFAC, pour brouiller la piste — le même saut de blanchiment rapide observé lors de la sortie de TesseraDAO. Unleash Protocol a suspendu ses opérations et lancé une enquête forensique, en soulignant que l'incident se limitait à ses propres contrats et contrôles administratifs : aucun signe de compromission n'a été relevé dans l'écosystème Story au sens large, ses validateurs ou son infrastructure centrale. Aucun fonds n'avait été récupéré dans l'immédiat.

Pourquoi c'est important

Le cas d'Unleash Protocol rappelle une fois de plus que l'autorité de mise à jour et les clés d'administration multisig sont le privilège le plus dangereux d'un protocole. Une logique de jeton auditée n'offre guère de protection dès lors qu'un attaquant peut réattribuer le contrôle administratif et remplacer le code du contrat lui-même. Alors que les compromissions de gouvernance et d'administration éclipsent de plus en plus les simples bugs de contrat intelligent comme vecteur de perte dominant, la leçon est la même que celle qui revient dans tout le catalogue : les seuils et l'hygiène des clés autour de la capacité de mise à jour méritent au moins autant d'attention que les contrats qu'ils régissent.

Sources & preuves on-chain

  1. [01]coinjournal.nethttps://coinjournal.net/news/how-a-governance-failure-led-to-the-unleash-protocol-hack/
  2. [02]thestreet.comhttps://www.thestreet.com/crypto/markets/ip-platform-loses-millions-in-end-of-year-hack
  3. [03]coinmarketcap.comhttps://coinmarketcap.com/academy/article/unleash-protocol-loses-dollar39m-in-governance-exploit
  4. [04]coinpedia.orghttps://coinpedia.org/news/unleash-protocol-hack-drains-3-9m-after-multisig-exploit-peckshield-reveals/

Dépôts liés