THORChain en voie de redémarrage : les opérateurs de nœuds votent sur la proposition ADR028 suite au piratage de 10,7 millions de dollars

THORChain a soumis au vote de ses opérateurs de nœuds la proposition ADR028, une étape cruciale pour le redémarrage du réseau après l'exploitation du 15 mai qui a permis le vol d'environ 10,7 millions de dollars d'un coffre-fort unique. Cette proposition détaille le mécanisme par lequel le réseau absorberait les pertes subies et pourrait reprendre ses activités, signalant une volonté de résilience malgré l'incident de sécurité.

Quelles vulnérabilités ont permis l'exploitation de la faille THORChain ?

Un acteur malveillant aurait rejoint le réseau en tant qu'opérateur de nœud deux jours avant l'attaque. Il a ensuite exploité une faille dans le schéma de signature à seuil GG20 (TSS) de THORChain, un système cryptographique qui répartit le contrôle des clés du coffre-fort entre plusieurs nœuds indépendantsdent qu'aucun opérateur ne détienne la totalité de la clé privée.

Seul un coffre-fort sur cinq a été touché. La société de sécurité PeckShieldAlert estime le butin à environ 10 millions de dollars, répartis entre 36,75 BTC (environ 3 millions de dollars à l'époque) et environ 7 millions de dollars d'actifs répartis sur Ethereum, BNB Chain et Base. L'analyse post-dent de THORChain, quant à elle, évalue le montant à 10,7 millions de dollars.

Le protocole a indiqué que l'attaque a été détectée en quelques minutes et que des suspensions de transactions au niveau de la chaîne ont été déclenchées, les opérateurs de nœuds effectuant des pauses manuelles via son système de gouvernance, ce qui a conduit au verrouillage total du réseau environ deux heures après l'alerte.

Le RUNE, jeton natif de THORChain, a chuté de plus de 21 % dans les jours qui ont suivi la faille de sécurité. Il se négocie actuellement autour de 0,44 $ selon les données de CoinMarketCap.

Que propose l'ADR-028 ?

L'ADR-028 a été publié par THORChain sur GitLab , ouvrant un vote aux opérateurs de nœuds. Le message du protocole sur X indiquait que le plan de redressement prévoyait que THORChain « absorbe la perte en priorité grâce à sa liquidité détenue par le protocole », précisant que le reste de la perte serait réparti entre les détenteurs de synthétiques.

Cela signifie que la liquidité détenue par le protocole sera réduite à zéro, et THORChain indique que « l'ADR propose de rediriger une partie des revenus du système pour la reconstituer au fil du temps »

Il a été indiqué que GG20 avait été corrigé et mis à jour, et que les nœuds non liés à l'attaquant mais affectés par son action car situés dans le même coffre-fort ne seraient pas pénalisés. Il est également proposé d'offrir à l'attaquant 10 % de la prime en guise de remboursement.

Sur GitLab, un utilisateur utilisant ce pseudonyme a donné son avis sur la proposition, en soulevant deux points.

L'une des propositions consistait à supprimer la section relative aux primes aux attaquants de l'ADR, arguant que ce type de problème devait être traité par les services d'investigation numérique et les forces de l'ordre. La seconde préconisait l'affectation permanente des revenus du système à des audits de sécurité externes, à une analyse critique de la couche TSS et à un programme de primes aux bogues financé, assorti de conditions de publication.

« En l'état, le plan rétablit la liquidité d'un coffre-fort, mais ne prévoit aucun financement pour prévenir les problèmes récurrents », a écrit l'auteur du commentaire sur l'extrait de code GitLab. « Il serait judicieux de s'attaquer à la cause du problème en même temps qu'au bilan. »

La piste de l'agresseur

La société d'analyse blockchain Chainalysis a publié le 16 mai des preuves sur la blockchain reliant l'attaquant à des portefeuilles approvisionnés plusieurs semaines avant le vol. La société tracles mouvements de l'attaquant à travers Monero, Hyperliquid et THORChain.

Fin avril, un portefeuille a déposé des XMR via un pont de confidentialité Hyperliquid-Monero, a échangé la position ainsi obtenue contre des USDC, puis a retiré les fonds vers Arbitrum et les a transférés vers Ethereum. Un intermédiaire a ensuite transféré 8 ETH vers le portefeuille destinataire de l'attaquant seulement 43 minutes avant l'arrivée des fonds volés, selon Chainalysis.

Que va-t-il arriver à THORChain maintenant ? 

Le vote de l'opérateur de nœud sur l'ADR-028 déterminera si THORChain redémarre dans le cadre de récupération proposé ou s'il nécessite des révisions supplémentaires. 

THORChain avait déjàdentun système de signature plus moderne appelé DKLS comme son remplaçant à long terme pour GG20 et avait engagé Silence Labs en novembre 2025 pour construire une implémentation personnalisée, avec une livraison prévue pour le premier ou le deuxième trimestre 2026, selon le rapport d'exploitation.

Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.