Points clés :
THORChain a perdu 10,7 M$ sur l'un de ses cinq coffres lors d'un exploit survenu le 15 mai, poussant le protocole cross-chain à suspendre les échanges et à approuver un plan de rétablissement.
« Les équipes de développement et de sécurité travaillent toujours à remettre le réseau en ligne après l'incident du 15 mai », a déclaré THORChain dans sa dernière mise à jour, ajoutant que l'accent est mis sur la restauration du réseau en toute sécurité « sans précipiter aucune étape ».
Les nœuds ont été mis à niveau vers la v3.18.1, un correctif qui restaure la capacité du réseau Rujira à gérer les comptes de crédit. La prochaine version, la v3.19.0, devrait passer en stagenet d'ici la fin du jour suivant, bien qu'un calendrier précis n'ait pas été confirmé. Le rapport officiel sur l'exploit indique qu'un opérateur de nœud nouvellement entré en rotation a rejoint le réseau deux jours avant l'exploit et a utilisé une vulnérabilité du schéma de signature à seuil GG20 pour vider le coffre concerné.
Le plan de rétablissement utilise d'abord la liquidité détenue par le protocole, tout déficit restant étant réparti entre les détenteurs de synthétiques — sans nouveau minage de RUNE, sans vente de RUNE et sans dilution des détenteurs. Avec l'approbation de l'ADR028, le nœud de l'attaquant sera entièrement pénalisé, tandis que les nœuds innocents du même coffre seront protégés. Les RUNE récupérées seront associées aux actifs récupérés du coffre affecté, et tout surplus sera brûlé.
Prime pour le pirate et audit de sécurité
La fenêtre de prime est désormais active, donnant à l'attaquant une chance de restituer une partie des fonds volés. THORChain a indiqué que les chiffres définitifs des pertes seront communiqués ultérieurement. Le protocole a également rendu tss-lib en source fermée pendant quelques semaines, laissant à THORSec le temps de réaliser un audit de sécurité complet sans exposer les travaux de correction en cours. Le dépôt sera rouvert une fois l'audit terminé.
L'exploit a attiré l'attention lorsque l'enquêteur blockchain ZachXBT a averti que les pertes pourraient dépasser les 10 M$ sur Bitcoin, Ethereum, BSC et Base. Le RUNE a chuté fortement après cet avertissement, alors que les utilisateurs attendaient des informations plus claires. Les premières estimations plaçaient la perte au-dessus de 7,4 M$ avant qu'un suivi actualisé n'indique qu'au moins 10 M$ avaient été dérobés.
Le processus de redémarrage comporte désormais deux tests. Le premier est technique : les développeurs doivent confirmer que les versions corrigées peuvent soutenir des opérations réseau sécurisées. Le second est financier : le protocole doit finaliser la couverture des pertes, les conditions de la prime et les chiffres du rétablissement sans créer de nouvelle offre de RUNE.
Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.
