THORChain (RUNE) a interrompu le trading et la signature vendredi après que des attaquants ont siphonné environ 10,8 millions de dollars à partir d’un de ses coffres-forts Asgard, le CTO de Ledger signalant de possibles faiblesses du MPC.
Coffre-fort Asgard vidé sur quatre chaînes
Le protocole de liquidité cross-chain a mis en pause les opérations de trading et de signature après que l’enquêteur on-chain ZachXBT a signalé des sorties suspectes visant des coffres sur Bitcoin (BTC), Ethereum (ETH), BNB Chain et Base.
Dans un communiqué, THORChain a indiqué que le réseau avait automatiquement détecté une activité anormale et suspendu la signature pour bloquer de nouveaux transferts sortants.
L’un des six coffres-forts Asgard semblait compromis, le churn a été mis en pause, et il a été demandé aux opérateurs de nœuds de revoir la gestion des clés et la sécurité opérationnelle.
Le module de gouvernance Mimir du protocole a activé l’arrêt du trading et de la signature, la pause durant environ 12 heures à partir du bloc 26190429.
Les portefeuilles liés à l’attaquant détiennent environ 3 443 ETH, 36,85 BTC et 96,6 BNB, ainsi que du USDT, USDC, WBTC, AAVE et LINK. Le RUNE a chuté d’environ 12 % à l’annonce, tombant vers 0,50 $. THORChain a déclaré que les premières indications suggèrent que les fonds des utilisateurs n’ont pas été directement touchés.
À lire aussi : Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Le CTO de Ledger met en avant un risque lié au MPC
Charles Guillemet, directeur technique du fabricant de portefeuilles matériels Ledger, a suggéré que l’incident pourrait impliquer des faiblesses dans l’infrastructure de schémas de signature seuil (TSS).
Citant les remarques du contributeur THORChain JP Thor, Guillemet a indiqué que la brèche pourrait être une exploitation MPC impliquant GG20, un protocole de signature seuil utilisé dans certains systèmes de portefeuilles en calcul multipartite.
Il a souligné que les protocoles GG18 et GG20 antérieurs ont déjà fait face à des vulnérabilités critiques, notamment CVE-2023-33241 et TSSHOCK.
Guillemet a averti que les progrès de l’IA dans la découverte de vulnérabilités pourraient abaisser le seuil pour compromettre des infrastructures de validateurs autrefois considérées difficiles à attaquer.
Un scénario d’attaque théorique, a-t-il expliqué, pourrait impliquer la compromission d’un validateur, l’attente de son intégration dans un coffre actif, l’exploitation de preuves mal formées lors de la signature, puis la reconstruction des clés du coffre hors ligne. Il a toutefois précisé que la cause première reste floue et que les enquêteurs n’ont pas confirmé s’il s’agit d’une faille GG20 connue ou d’une nouvelle faiblesse.
Le bilan de sécurité récent de THORChain
Les coffres-forts de THORChain reposent sur le TSS, un système cryptographique permettant à plusieurs nœuds de produire conjointement des signatures sans reconstituer la clé privée complète en un seul endroit. Cette architecture a longtemps été considérée comme un atout de la DeFi cross-chain, mais elle fait désormais l’objet d’un nouvel examen.
Le protocole a traversé plusieurs incidents très médiatisés au cours de l’année écoulée. En février 2025, les attaquants à l’origine du piratage de 1,4 milliard de dollars de Bybit ont fait transiter près de 1,2 milliard de dollars via THORChain pour convertir des actifs en Bitcoin.
L’exploitant de KelpDAO a également utilisé le protocole THORChain pour déplacer environ 80 millions de dollars en Ether, tandis que le cofondateur de THORChain, JP Thorbjornsen, a perdu 1,35 million de dollars dans une escroquerie en deepfake sur Zoom en septembre 2025.
À lire ensuite : Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok