La plate-forme décentralisée de propriété intellectuelle Unleash Protocol a perdu environ 3,9 millions de dollars de crypto-monnaie après que quelqu’un a exécuté une mise à niveau de contrat non autorisée qui a permis des retraits d’actifs.
Selon l’équipe derrière le projet blockchain, l’attaquant a obtenu suffisamment de pouvoir de signature pour agir en tant qu’administrateur du système de gouvernance multisig de Unleash.
« Notre enquête initiale indique qu’une adresse appartenant à des tiers a pris le contrôle administratif via la gouvernance multisig de Unleash et a effectué une mise à niveau de contrat non autorisée », indique la société dans une annonce publique.
« Cette mise à niveau a permis des retraits d’actifs qui n’ont pas été approuvés par l’équipe Unleash et qui se sont produits en dehors de nos procédures de gouvernance et opérationnelles prévues. »
Le protocole Unleash est décrit comme un système d’exploitation permettant de gérer la propriété intellectuelle (IP) en la convertissant en actifs en chaîne (jetons) pouvant être utilisés comme garantie au sein de l’écosystème DeFi.
Il fournit une couche de monétisation via des contrats intelligents et distribue automatiquement les revenus de licences et de redevances aux parties prenantes prédéfinies selon des règles en chaîne.
En effectuant la mise à niveau non autorisée du contrat intelligent, l’attaquant a débloqué la possibilité d’effectuer des retraits, en l’exploitant pour voler des actifs WIP (IP encapsulée), USDC, WETH (Éther encapsulé), stIP (IP jalonnée) et vIP (vote-IP entiercée).
Les experts en sécurité Blockchain de PeckShieldAlert rapportent que la fuite non autorisée équivaut à des pertes d’environ 3,9 millions de dollars.
Après leur retrait, les actifs ont été reliés via une infrastructure tierce et transférés vers des adresses externes pour réduire la traçabilité.
PeckShieldAlert rapporte que l’attaquant a déposé les montants volés dans le service de mélange de crypto-monnaie Tornado Cash sous la forme de 1 337 ETH.
Le service Tornado Cash, qui a été sanctionné par les États-Unis en 2022 et radié de la liste en 2025 pour son rôle dans le blanchiment de fonds pour des groupes de piratage nord-coréens, permet aux utilisateurs d’acheminer la crypto-monnaie via des mécanismes d’obscurcissement avant de la retirer vers de nouveaux portefeuilles non liables.
Bien que conçu pour assurer la confidentialité des transactions sur les chaînes de blocs publiques, il a été abusé par les cybercriminels pour échapper au suivi des forces de l’ordre et aux efforts de gel des avoirs.
En réponse à l’incident, Unleash Protocol a interrompu toutes les opérations et lancé une enquête avec l’aide d’experts en sécurité externes pour déterminer la cause première de l’exploit. Parallèlement, ils évaluent les mesures d’assainissement et de rétablissement.
En attendant, il est conseillé aux utilisateurs de ne pas interagir avec les contrats de protocole Unleash jusqu’à ce que la société annonce publiquement sur ses canaux officiels qu’il est prudent de le faire.