THORChain (RUNE) a interrompu le trading et la signature vendredi après que des attaquants ont siphonné environ 10,8 millions de dollars (voir ici) depuis l’un de ses coffres Asgard, le CTO de Ledger signalant de possibles faiblesses MPC.
Un coffre-fort Asgard vidé sur quatre chaînes
Le protocole de liquidité cross-chain a mis en pause les opérations de trading et de signature après que l’enquêteur on-chain ZachXBT a signalé des sorties suspectes visant des coffres sur Bitcoin (BTC), Ethereum (ETH), BNB Chain et Base.
Dans un communiqué, THORChain a indiqué que le réseau avait automatiquement détecté une activité anormale et suspendu la signature afin de bloquer tout transfert sortant supplémentaire.
Un des six coffres Asgard semblait compromis, la rotation (« churn ») a été mise en pause et il a été demandé aux opérateurs de nœuds de revoir la gestion des clés et la sécurité opérationnelle.
Le module de gouvernance Mimir du protocole a activé les arrêts du trading et de la signature, la pause durant environ 12 heures à partir du bloc 26190429.
Les portefeuilles liés à l’attaquant détiennent environ 3 443 ETH, 36,85 BTC et 96,6 BNB, ainsi que de l’USDT, de l’USDC, du WBTC, de l’AAVE et du LINK. Le RUNE a chuté d’environ 12 % à l’annonce, tombant vers 0,50 $. THORChain a déclaré que les premières indications suggèrent que les fonds des utilisateurs n’ont pas été directement affectés.
À lire aussi : Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Le CTO de Ledger signale un risque MPC
Charles Guillemet, directeur technique du fabricant de wallets matériels Ledger, a suggéré que l’incident pourrait impliquer des faiblesses dans l’infrastructure des schémas de signature par seuil.
Citant les remarques du contributeur THORChain JP Thor, Guillemet a déclaré que la brèche pourrait être un exploit MPC impliquant GG20, un protocole de signature par seuil utilisé dans certains systèmes de wallets à calcul multipartite (MPC).
Il a souligné que les protocoles GG18 et GG20 antérieurs ont déjà fait face à des vulnérabilités critiques, notamment CVE-2023-33241 et TSSHOCK.
Guillemet a averti que les progrès de l’IA dans la découverte de vulnérabilités pourraient abaisser le seuil nécessaire pour compromettre des infrastructures de validateurs autrefois considérées comme difficiles à attaquer.
Un vecteur d’attaque théorique, a-t-il expliqué, pourrait consister à compromettre un validateur, attendre qu’il rejoigne un coffre actif, exploiter des preuves malformées durant la signature, puis reconstruire les clés du coffre hors ligne. Il a toutefois mis en garde en précisant que la cause racine reste inconnue et que les enquêteurs n’ont pas confirmé s’il s’agit d’une faille GG20 connue ou d’une nouvelle faiblesse.
Le bilan de sécurité récent de THORChain
Les coffres de THORChain reposent sur le TSS, un système cryptographique qui permet à plusieurs nœuds de produire conjointement des signatures sans reconstruire la clé privée complète en un seul endroit. Cette architecture était depuis longtemps considérée comme un atout de la DeFi cross-chain, mais elle fait désormais l’objet d’un nouvel examen.
Le protocole a résisté à plusieurs incidents très médiatisés au cours de l’année écoulée. En février 2025, les auteurs du piratage de 1,4 milliard de dollars de Bybit ont fait transiter près de 1,2 milliard de dollars via THORChain pour convertir des actifs en Bitcoin.
L’assaillant de KelpDAO a également utilisé le protocole THORChain pour déplacer environ 80 millions de dollars en Ether, tandis que le cofondateur de THORChain, JP Thorbjornsen, a perdu 1,35 million de dollars dans une arnaque en deepfake sur Zoom en septembre 2025.
À lire ensuite : Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok