Le redémarrage du réseau THORChain soumis au vote alors que les opérateurs de nœuds votent sur l'ADR028

THORChain a ouvert un vote de gouvernance pour les opérateurs de nœuds dans le cadre de sa démarche de reprise des opérations après l'exploit du 15 mai qui a drainé environ 10,7 millions de dollars d'un seul coffre.

La proposition, appelée ADR-028, définit comment le réseau absorberait les pertes et reprendrait ses opérations.

Quelles vulnérabilités ont conduit à l'exploit de THORChain ?

Un acteur malveillant aurait rejoint le réseau en tant qu'opérateur de nœud deux jours avant l'attaque. Il a ensuite exploité une faille dans le schéma de signature à seuil GG20 de THORChain (TSS), un système cryptographique qui distribue le contrôle des clés de coffre sur plusieurs nœuds indépendants, de sorte qu'aucun opérateur unique ne détient jamais la clé privée complète.

Un seul coffre sur cinq a été affecté, la société de sécurité PeckShieldAlert estimant le butin à environ 10 millions de dollars, répartis entre 36,75 BTC (environ 3 millions de dollars à l'époque) et environ 7 millions de dollars en actifs sur Ethereum, BNB Chain et Base. L'analyse post-incident de THORChain a établi le chiffre à 10,7 millions de dollars.

Le protocole a indiqué que l'attaque a été détectée en quelques minutes et que des suspensions des échanges au niveau de la chaîne ont été déclenchées, les opérateurs de nœuds activant des pauses manuelles via son système de gouvernance, conduisant à un verrouillage total du réseau en environ deux heures après l'alerte.

RUNE, le Token natif de THORChain, a chuté de plus de 21 % dans les jours suivant la brèche. Il se négocie actuellement autour de 0,44 $ selon les données de CoinMarketCap.

Que propose ADR-028 ?

ADR-028 a été publié par THORChain sur GitLab avec l'ouverture d'un vote pour les opérateurs de nœuds. Le post du protocole sur X a indiqué que le plan de récupération permettrait à THORChain d'« absorber d'abord la perte via la liquidité détenue par le protocole », ajoutant que le reste de la perte serait réparti entre les détenteurs de synths.

Cela signifie que la liquidité détenue par le protocole sera réduite à zéro, et THORChain indique que « l'ADR propose de rediriger une partie des revenus du système pour la reconstituer au fil du temps ».

Il a été précisé que GG20 a été corrigé et mis à niveau, ajoutant que les nœuds qui ne sont pas liés à l'attaquant mais affectés par celui-ci en raison de leur présence dans le même coffre ne seraient pas sanctionnés. Il propose également d'offrir à l'attaquant 10 % de la prime pour le retour des fonds.

Sur GitLab, un commentateur utilisant le pseudonyme a donné son avis sur la proposition, soulevant deux points.

L'un d'eux consistait à retirer la section relative à la prime de l'attaquant de l'ADR, en indiquant qu'elle devrait être traitée par des experts légaux et les forces de l'ordre. Le second point plaidait pour une allocation permanente des revenus du système vers des audits de sécurité externes, une révision adversariale de la couche TSS, et un programme de bug bounty financé avec des jalons de publication qui y sont liés.

« Tel qu'il est rédigé, le plan reconstruit la liquidité d'un coffre mais ne finance encore rien contre la récurrence », a écrit le commentateur sur le fragment GitLab. « Il vaut la peine de corriger la cause en même temps que le bilan. »

La piste de l'attaquant

La société d'analyse Blockchain Chainalysis a publié des preuves on-chain le 16 mai reliant l'attaquant à des portefeuilles qui avaient été financés des semaines avant le vol. La société a retracé les mouvements de l'attaquant à travers Monero, Hyperliquid et THORChain lui-même.

Un portefeuille a déposé des XMR via un pont de confidentialité Hyperliquid-Monero fin avril, a échangé la position résultante contre des USDC, puis s'est retiré vers Arbitrum et a fait le pont vers Ethereum. Un intermédiaire a ensuite transféré 8 ETH dans le portefeuille récepteur de l'attaquant seulement 43 minutes avant l'arrivée des fonds volés, selon Chainalysis.

Que va-t-il se passer avec THORChain maintenant ? 

Le vote des opérateurs de nœuds sur ADR-028 déterminera si THORChain redémarre selon le cadre de récupération proposé ou nécessite des révisions supplémentaires. 

THORChain avait déjà identifié un schéma de signature plus moderne appelé DKLS comme remplacement à long terme de GG20 et avait engagé Silence Labs en novembre 2025 pour construire une implémentation personnalisée, avec une livraison ciblée pour le T1 ou T2 2026, selon le rapport d'exploit.

Si vous lisez ceci, vous avez déjà une longueur d'avance. Gardez-la grâce à notre newsletter.