THORChain (RUNE) a ouvert un vote de gouvernance communautaire pour déterminer sa voie de rétablissement après un exploit le 15 mai, au cours duquel un opérateur de nœud malveillant a drainé environ 10,7 millions de dollars d'un seul coffre-fort, entraînant l'arrêt de toutes les opérations de trading et de signature du réseau. Le jeton RUNE a chuté de 10 % le jour de l'incident, selon les données de CoinGecko.
L'équipe de développement du protocole a détaillé l'attaque dans un rapport post-incident, attribuant la perte à une exploitation sophistiquée de son schéma de signature à seuil GG20. « Grâce à une fuite progressive de matériel de clé sur plusieurs cycles de signature, l'attaquant aurait reconstruit la clé privée complète du coffre-fort », indique le rapport. Cela a permis à l'attaquant de signer directement des transactions, contournant le modèle de sécurité multipartite.
L'analyse on-chain a confirmé que l'attaquant a rejoint l'ensemble des validateurs le 13 mai après avoir déposé 635 000 RUNE. L'exploit a commencé deux jours plus tard, les vérificateurs de solvabilité automatisés ayant arrêté six chaînes dans les 52 minutes suivant les transactions non autorisées. Les opérateurs de nœuds ont ensuite coordonné un verrouillage complet du réseau à l'aide de votes de gouvernance Mimir, empêchant le nœud malveillant de sortir et de réclamer sa caution.
Cet incident s'ajoute aux plus de 840 millions de dollars perdus dans des piratages DeFi en 2026, une année marquée par des attaques de plus en plus sophistiquées sur les infrastructures inter-chaînes. L'exploit THORChain a spécifiquement ciblé la couche cryptographique, se distinguant des attaques d'ingénierie sociale ou axées sur les ponts qui ont caractérisé d'autres pertes majeures cette année.
L'exploit : un nœud malveillant et une faille GG20
L'attaque a été initiée par un nouvel opérateur de nœud qui a rejoint le Discord des développeurs le 1er mai sous le pseudonyme Dinosauruss. Après avoir rejoint l'ensemble des validateurs actifs, l'opérateur a utilisé une faille dans le processus de signature GG20 pour faire fuiter progressivement le matériel de clé d'un coffre-fort sur deux jours. Une fois la clé privée complète reconstruite, l'attaquant a drainé les fonds directement, le chercheur en sécurité ZachXBT étant parmi les premiers à signaler les transactions sortantes suspectes sur X.
Réponse et arrêt du réseau
Le modèle de sécurité de THORChain a répondu par couches. Le vérificateur de solvabilité automatisé du protocole, qui surveille les écarts de solde, s'est déclenché en premier, interrompant l'activité sur les chaînes concernées. Cela a été suivi d'une réponse manuelle de la communauté, avec plus de 18 opérateurs de nœuds cumulant des commandes de pause pour maintenir l'arrêt du réseau pendant l'enquête. L'équipe a depuis publié le correctif v3.18.1 pour remédier à la vulnérabilité et coordonne ses efforts avec d'autres projets utilisant la même implémentation GG20.
ADR-028 : un vote communautaire sur le rétablissement
Le chemin vers la restauration complète des fonctionnalités du réseau et le traitement de la perte financière repose désormais sur un vote de gouvernance sur l'Architecture Decision Record 028 (ADR-028). La proposition expose un plan visant à dédommager les utilisateurs en utilisant la propre liquidité du protocole (POL) pour couvrir le déficit. Le plan stipule explicitement qu'aucun nouveau RUNE ne sera émis. Il comprend également une disposition visant à offrir au pirate une prime pour le retour de la majorité des fonds. Le vote déterminera si les pertes sont absorbées par le protocole ou si d'autres mesures, telles que la réduction de la caution de l'attaquant, seront utilisées.
Cet article est uniquement à titre informatif et ne constitue pas un conseil en investissement.
