La finance décentralisée (DeFi) subit une nouvelle attaque chirurgicale en cette fin d’année en Ethereum. Le protocole Unleash a vu ses coffres se vider ce mardi. Un cybercriminel a siphonné près de 4 millions de dollars d’actifs. Le pirate ne perd pas de temps. Il utilise la puissance du réseau ETH pour effacer ses traces. Les fonds transitent actuellement vers le mixeur controversé Tornado Cash. Les firmes de sécurité Peckshield et CertiK mènent la traque en direct.
Gouvernance compromise : Le piège du « Multisig » se referme
Ce n’est pas une erreur de code complexe qui a fait tomber Unleash. C’est le facteur humain. Le hacker a visé le cœur du pouvoir : le portefeuille d’administration.
Une prise de contrôle administrative totale
L’équipe d’Unleash a confirmé le cauchemar. Une adresse externe a pris le contrôle du portefeuille « multisig » (multi-signatures). Les experts soupçonnent une attaque par ingénierie sociale ou phishing. Le pirate a probablement volé les clés privées des signataires légitimes. Une fois aux commandes, il a agi vite. Il a forcé une mise à jour malveillante du contrat intelligent. Cette manœuvre a désactivé les verrous de sécurité.
Le siphonnage méthodique des actifs
Le voleur a ouvert les vannes. Il a drainé environ 3,9 millions de dollars. Le butin comprend une variété de jetons : WIP, USDC, WETH et stIP. L’équipe du projet a réagi dans l’urgence. Elle a gelé le protocole pour stopper l’hémorragie. Les développeurs inspectent désormais les dégâts. Ils exhortent la communauté à révoquer toutes les autorisations liées à l’application.
Sur la piste d’Ethereum : 1 337 ETH dans la « lessiveuse » Tornado
Voler les fonds est une chose. Les sortir proprement en est une autre. Le hacker utilise l’infrastructure Ethereum pour blanchir son larcin.
La course à la liquidité sur le Mainnet
Les actifs volés se trouvaient initialement sur le réseau Story Protocol. Le pirate les a immédiatement « bridgés » (transférés) vers le réseau principal Ethereum. Il cherchait la liquidité profonde de la blockchain numéro un, et a converti la totalité du butin en Ether. Désormais, il détient environ 1 337 ETH. Cette conversion rapide complique la tâche des émetteurs de stablecoins (comme Circle) qui auraient pu geler les USDC.
La technique des « paquets de 100 ETH »
Pour disparaître, le hacker utilise Tornado Cash. Ce protocole mélange les dépôts pour briser le lien entre l’expéditeur et le destinataire. La firme de sécurité Peckshield a repéré le manège. Le criminel dépose des sommes par tranches exactes de 100 ETH. Cette méthode fragmentée vise à noyer les fonds volés dans la masse des transactions légitimes. CertiK a également flagué l’adresse de réception, créée via un outil « SafeProxyFactory ».
Dommages collatéraux : Story Protocol est-il menacé ?
Unleash est une application phare de l’écosystème Story Protocol. Ce réseau Layer 1 se spécialise dans la propriété intellectuelle tokenisée. L’incident a provoqué une onde de choc.
Une contagion contenue
L’équipe se veut rassurante. La faille concerne uniquement les contrats spécifiques d’Unleash. Le pirate n’a pas touché à l’infrastructure de Story Protocol. Les validateurs fonctionnent normalement. PIP Labs, l’entité derrière Story (qui a levé 140 millions de dollars), confirme l’intégrité de la couche de base.
La dure réalité de la sécurité DeFi
Cet événement sert de rappel brutal. Une blockchain sécurisée ne protège pas contre une mauvaise gestion des clés. Si les administrateurs d’une application (dApp) se font piéger, le protocole tombe. La décentralisation exige une vigilance paranoïaque. Ici, la chaîne est aussi forte que son maillon humain le plus faible.
Synthèse : La cybercriminalité ne prend pas de vacances
Ce hack de 4 millions de dollars clôture l’année 2025 sur une note amère pour la sécurité crypto.
- L’Attaquant : Il exploite la faiblesse humaine (clés privées) plutôt que la solidité du code (Smart Contract).
- Le Réseau : Ethereum reste la plaque tournante inévitable pour le blanchiment via des outils de confidentialité comme Tornado Cash.
- L’Enjeu : Tant que la gouvernance des projets reposera sur quelques individus vulnérables au phishing, les fonds des utilisateurs resteront à risque.
FAQ : Le hack Unleash et Ethereum
Le pirate a compromis le système de gouvernance (multisig) d’Unleash, probablement via du phishing, lui permettant d’effectuer une mise à jour malveillante pour autoriser les retraits vers son propre portefeuille.
Le réseau Ethereum dispose de la plus grande liquidité et héberge Tornado Cash, le mixeur le plus efficace pour anonymiser (blanchir) des fonds volés en brisant la traçabilité on-chain.
Non, l’attaque est isolée. Elle cible spécifiquement les contrats intelligents d’Unleash. L’infrastructure sous-jacente de Story Protocol reste sécurisée et opérationnelle.
Disclaimer (Avis de non-responsabilité) : Le contenu de cet article est fourni à titre informatif uniquement et ne constitue en aucun cas un conseil en investissement, une offre ou une sollicitation d’achat ou de vente d’actifs financiers. Les cryptomonnaies sont des actifs volatils et risqués. Faites vos propres recherches (DYOR) avant toute décision financière.
