
THORChain subit pour la troisième fois une attaque massive : des nœuds usurpés pénètrent le coffre-fort, exploitent une faille de clé accumulée sur trois semaines et dérobent 10,7 millions de dollars.
TechFlow SélectionTechFlow Sélection

THORChain subit pour la troisième fois une attaque massive : des nœuds usurpés pénètrent le coffre-fort, exploitent une faille de clé accumulée sur trois semaines et dérobent 10,7 millions de dollars.
Lorsque les retards de maintenance deviennent la norme, à qui incombe la responsabilité ?
Auteur : Rekt
Traduction et adaptation : TechFlow
Introduction de TechFlow : Trois vols en cinq ans, une crise d’insolvabilité de 200 millions de dollars, un blanchiment de 1,2 milliard de dollars au profit de la Corée du Nord — et même le portefeuille personnel du cofondateur jpthor a été vidé de 1,2 million de dollars par des pirates nord-coréens via une escroquerie basée sur une fausse réunion. Ce n’est pas une simple malchance : un correctif pour une vulnérabilité connue était déjà présent dans le dépôt de code depuis neuf jours, sans jamais avoir été déployé. Lorsque le report de la maintenance devient la norme, à qui incombe la responsabilité ?
Trois vols en cinq ans. Une crise d’insolvabilité de 200 millions de dollars. Et un blanchiment de 1,2 milliard de dollars au profit de la Corée du Nord.
Les liens entre THORChain et la Corée du Nord sont plus profonds que la plupart des protocoles ne veulent bien l’admettre.
La Corée du Nord a même rendu la pareille : en septembre 2025, elle a dérobé 1,2 million de dollars depuis le portefeuille personnel du cofondateur jpthor, grâce à une escroquerie reposant sur une fausse réunion.
Cela ne ressemble guère à une recette du succès, mais plutôt à un présage de désastre.
Puis, le 15 mai au matin, 10,7 millions de dollars supplémentaires ont été volés.
À un certain stade, la question ne porte plus sur « comment cela s’est-il produit ? », mais sur « pourquoi quelqu’un s’attendrait-il encore à un résultat différent ? »
Le 15 mai 2026, la trésorerie Asgard de THORChain a été vidée rapidement sur plusieurs blockchains.
Le vérificateur automatique de solvabilité intégré à THORChain s’est déclenché — seule amélioration de sécurité mise en place suite au désastre de juillet 2021 — et a gelé le réseau pendant 12 heures et 42 minutes.
La conception de la trésorerie était sans faille. Pourtant, les fonds ont disparu.
Le cours du RUNE a chuté de 15 % avant que la majorité du monde n’ait eu le temps de lire le message Telegram de ZachXBT.
La capitalisation boursière s’est effondrée de 27 millions de dollars en quelques minutes.
C’est un protocole qui, autrefois, a regardé l’abîme droit dans les yeux tout en continuant à construire. Mais il y a une limite à qualifier sans cesse la même blessure de « leçon apprise ».
Lorsqu’une catégorie de vulnérabilité est déjà documentée, qu’un correctif existe, et que les fonds disparaissent néanmoins, à quel moment le report de la maintenance cesse-t-il d’être une négligence pour devenir une faute ?
ZachXBT a été le premier à détecter l’attaque.
Dès le matin du 15 mai, son canal Telegram a publié une alerte communautaire : THORChain était très probablement attaqué sur Bitcoin, Ethereum, BSC et Base, avec des pertes dépassant 10,7 millions de dollars.
TRM Labs a ensuite élargi la confirmation à au moins neuf blockchains — ajoutant Avalanche, Dogecoin, Litecoin, Bitcoin Cash et XRP aux quatre initiales — et a revu à la hausse la perte totale à plus de 11 millions de dollars.
Arkham a identifié le portefeuille de l’attaquant.
Mais le vidage était déjà terminé.
PeckShield a confirmé publiquement qu’environ 10 millions de dollars avaient été vidés, notamment 36,75 BTC et environ 7 millions de dollars d’actifs répartis sur BNB Chain, Ethereum et Base.
L’infrastructure propre à THORChain s’est activée avant même que l’équipe ne réagisse.
Le module de gouvernance Mimir de THORChain a basculé les paramètres de suspension des transactions et des signatures vers l’état actif ; la suspension des nœuds a débuté au bloc 26190429 et a duré environ 12 heures et 42 minutes.
Aucune décision humaine n’était requise.
Plus de cinq heures après l’annonce de ZachXBT, THORChain a publié une déclaration officielle confirmant ce que les données en chaîne avaient déjà révélé : l’un des six coffres-forts Asgard avait été compromis. Les 10,7 millions de dollars avaient disparu.
Les opérateurs de nœuds chargés de protéger le coffre-fort affecté se sont vu appliquer une pénalité de réduction (« slashing ») de leur mise en jeu (staking) de RUNE en raison de transactions de retrait non autorisées. La rotation des nœuds a été suspendue. Le déploiement de la mise à niveau en chaîne a été indéfiniment reporté. Les premiers signes indiquent qu’aucune transaction d’utilisateurs individuels n’a été impactée.
THORSwap et Metro.exchange ont immédiatement cessé le routage via THORChain.
Maya Protocol a suspendu ses opérations par mesure de précaution.
Les échanges d’ATOM sont entrés dans une zone d’incertitude.
Les fournisseurs alternatifs — Chainflip, NEAR Intents, Harbor, Flashnet, Garden et 1inch — ont continué à fonctionner, indemnes.
Tandis que l’écosystème se précipitait pour réagir, les registres en chaîne racontaient déjà une histoire différente.
Dans les premiers signaux pointant vers la cause : banteg a signalé un commit GitLab sur THORNode daté du 6 mai — soit neuf jours avant l’attaque — intitulé « Signer l’enveloppe ObservedTx complète afin d’empêcher la falsification par le proposant ».
Le correctif existait bel et bien. Il portait un nom et une date. Il n’avait jamais été publié.
Ce commit s’avérera être un fil dans un tissu plus vaste : non pas la cause première, mais un indicateur précoce de l’écart entre ce qui est connu et ce qui est effectivement mis en œuvre.
Neuf jours séparent un correctif validé et une perte de 10,7 millions de dollars — alors, qui est responsable de ce qui s’est produit durant cet intervalle ?
Un nœud, une clé, un vidage complet
Les trésoreries de THORChain sont protégées par un schéma de signature seuil (TSS), une forme de calcul multipartite où un quorum de nœuds génère conjointement une signature cryptographique, sans qu’aucun nœud ne détienne la clé privée complète.
Théoriquement, il s’agit d’une confiance distribuée. En pratique, sa robustesse ne dépasse pas celle du membre le plus faible du quorum.
La préparation du vidage avait commencé plusieurs semaines auparavant. Un nouveau compte Discord — « Dinosauruss » — avait rejoint le serveur Discord des développeurs THORChain le 1er mai, demandant comment faire entrer un nœud dans le réseau aussi vite que possible.
Pour des raisons non liées à l’attaque, l’intervalle normal de trois jours pour la rotation des nœuds avait été retardé, obligeant ainsi les attaquants à attendre. Le 13 mai, deux jours avant l’attaque, un nouvel opérateur de nœud, détenant environ 635 000 RUNE sur deux adresses de staking, a été intégré à l’ensemble des validateurs actifs et attribué aléatoirement à l’un des cinq coffres-forts.
Dans les deux jours suivants, ce nœud a participé aux cérémonies de signature GG20 habituelles, obtenant ainsi tous les éléments nécessaires.
L’enquête menée par THORChain a révélé que les attaquants avaient exploité une vulnérabilité dans l’implémentation GG20 du TSS, permettant une fuite progressive du matériel sensible lié aux clés du coffre-fort.
En accumulant suffisamment de matériel exposé au cours des rondes de signature, les attaquants ont pu reconstruire la clé privée TSS complète du coffre-fort et exécuter directement des transactions de retrait non autorisées.
Le vérificateur actif de solvabilité examine l’insolvabilité avant la signature. Aucune signature ne peut intercepter cette étape. Lorsque le coffre-fort affiche un déficit, le vérificateur passif se déclenche — trop tard : les fonds ont déjà disparu.
Le vérificateur de solvabilité fonctionnait conformément à sa conception. L’attaque a simplement contourné la couche qu’il surveillait.
Pour comprendre pourquoi les attaquants ont pu reconstruire la clé en premier lieu, il faut connaître précisément ce que THORChain exécute.
GG20 est un protocole ECDSA seuil largement utilisé, généralement déployé dans les systèmes interagissant avec Bitcoin et Ethereum.
Il possède également un historique documenté de vulnérabilités critiques.
Les CVE-2023-33241 et TSSHOCK, toutes deux divulguées en 2023, sont des attaques d’extraction de clés : un seul signataire compromis suffit à reconstruire la clé privée complète — silencieusement, sans déclencher d’arrêt, et sans laisser de trace dans le fonctionnement normal du protocole.
Aucune correspondance formelle avec une CVE n’a été confirmée publiquement pour le mécanisme spécifique utilisé par THORChain, mais ces deux vulnérabilités illustrent clairement la catégorie d’attaques dont cette bibliothèque est vulnérable.
Le TSS de THORChain repose sur une fourche de la bibliothèque tss-lib de Binance, implémentant GG20.
Comme l’a souligné Taylor Monahan peu après la découverte de l’attaque : « Bon sang, il semble que la bibliothèque tss-lib utilisée par THORChain soit obsolète de près de trois ans et de plus de deux versions majeures en matière de sécurité. »
banteg a publié, dès le lendemain de l’attaque, l’analyse technique la plus détaillée, examinant directement la fourche déployée par THORChain : tss-lib v0.1.6, commit 287e1e2, utilisée avec thornode v3.18.0.
Ses constatations : le chemin de génération des clés accepte et persiste le matériel Paillier pair, sans établir la preuve MOD/FAC garantissant la bonne formation d’un module Paillier à deux facteurs premiers.
Ainsi, un nœud malveillant peut enregistrer un module Paillier de 2048 bits qui passe tous les contrôles exécutés par la bibliothèque, tout en contenant des facteurs connus de l’attaquant.
Dès lors qu’un nœud honnête persiste cette clé défectueuse, chaque ronde de signature qui y fait appel expose la forme d’un oracle dans le code vérifié, entraînant une fuite résiduelle des parts de signature à long terme des autres participants — que l’attaquant peut collecter et combiner hors ligne.
Ses tests ont confirmé la présence de cette forme d’oracle dans le code vérifié.
jpthor avait déjà identifié ce problème : quelques heures après la suspension, il a désigné GG20 comme l’explication la plus probable.
Charles Guillemet a mis en lumière des problèmes structurels plus larges : dans chacune des attaques publiées contre GG18 et GG20, un seul signataire malveillant ou compromis suffit.
Pas une majorité. Pas un quorum. Un seul.
Si un participant unique est malveillant, tout le fondement de la sécurité distribuée des clés s’effondre au niveau des signataires.
jpthor a depuis établi une feuille de route en trois étapes : corriger GG20 pour permettre la remise en service de THORChain ; migrer l’ensemble des protocoles ECDSA vers DKLS ; puis migrer les signatures Bitcoin vers FROST.
Il décrit GG20 comme une « boîte noire » comportant « de nombreuses hypothèses fragiles », une « boîte noire à jamais » — la reconnaissance la plus explicite disponible dans les archives publiques.
THORChain collaborait avec Silence Labs depuis novembre 2025 pour développer une implémentation personnalisée de DKLS, avec une livraison prévue pour le premier ou le deuxième trimestre 2026 — c’est précisément pour cette raison que GG20 était encore en production lors de l’attaque. Ce travail n’est pas encore achevé.
Le mécanisme de rotation de THORChain — par lequel les validateurs entrent et sortent régulièrement des coffres-forts Asgard actifs — a rendu cette attaque possible.
Sans lui, un opérateur malveillant n’aurait eu aucun moyen d’accéder au coffre-fort, de participer aux cérémonies de signature ni d’accumuler du matériel de clé. Les attaquants n’ont pas eu besoin de casser la cryptographie. Ils ont simplement eu besoin d’entrer dans la pièce.
L’enquête se poursuit en collaboration avec THORSec et Outrider Analytics.
Les autorités compétentes ont été informées. L’identité des attaquants reste inconnue.
Un rapport préliminaire sur l’attaque a été publié le 20 mai. Un rapport complémentaire sera publié une fois l’enquête finalisée et le plan de restauration défini.
Ce qui est avéré : les liens en chaîne entre l’adresse du nœud, le portefeuille de staking et le portefeuille destinataire, ainsi que le mécanisme confirmé — une bibliothèque cryptographique obsolète de plusieurs années, exécutée sur une fourche comportant un défaut d’implémentation permettant de fuiter le matériel de clé du coffre-fort à un opérateur malveillant patient.
Nœud malveillant :
thor16ucjv3v695mq283me7esh0wdhajjalengcn84q
Le mécanisme de rotation de THORChain existe pour faire tourner la confiance — quelqu’un l’a utilisé pour gagner du temps.
Combien d’autres trésoreries DeFi reposant sur GG20 sont-elles donc installées sur la même bibliothèque non corrigée, attendant simplement le prochain opérateur patient ?
Vidage total
Plusieurs blockchains, des dizaines de jetons, une seule adresse.
Qui que soient les auteurs, ils savaient exactement où se trouvaient tous les actifs, et les ont déplacés avec une précision excluant toute improvisation.
Avant même que la suspension du réseau ne soit pleinement propagée, chaque jeton ERC-20 sur Ethereum, BNB Chain et Base avait été rassemblé sur l’adresse contrôlée par l’attaquant. Les mouvements sur Bitcoin se sont déroulés en parallèle.
Lorsque ZachXBT a publié son alerte, l’opération de consolidation était déjà terminée.
QuillAudits a publié le 19 mai une analyse complète, blockchain par blockchain.
Voici le détail du vidage…
Activité malveillante sur Ethereum
Stablescoins, jetons DeFi bleu-chip et actifs natifs du protocole extraits du coffre-fort :
1 756 756,02 USDT · 1 261 986,53 USDC · 73 768 463,86 XRUNE · 3 349 323,54 THOR · 5,206 WBTC · 64 138,47 LUSD · 61 074,86 GUSD · 38 762,45 USDP · 1 044,06 LINK · 4 567,54 DAI · 78,10 AAVE · 1 514,92 SNX · 481 996,68 FOX · 1,057 YFI · 11,43 DPI
Adresse de l’attaquant :
0x82fc0d5150f3548027e971ec04c065f3c93154eb
Coffre-fort THORChain :
0x82a5CF67F3e6970C0529122178075C0a94878bDA
Transactions de retrait :
Voir toutes sur Etherscan
Fonds transférés ici (environ 6,77 millions de dollars) :
0xd477b69551f49C0519F9B18c55030676138890Bd
Activité malveillante sur BNB Chain
Panier diversifié de jetons vidés, incluant stablescoins, BTC et ETH emballés :
274 256,09 USDC · 125 117,17 BSC-USD · 32 144,23 BUSD · 32 980,44 TWT · 15,615 ETH · 0,509 BTCB
Adresse de l’attaquant :
0x82fc0d5150f3548027e971ec04c065f3c93154eb
Coffre-fort THORChain :
0x82a5cf67f3e6970c0529122178075c0a94878bda
Transactions de retrait :
Voir toutes sur BSCscan
Activité malveillante sur Bitcoin
Deux transactions de retrait totalisant plus de 40 BTC (environ 3,26 millions de dollars) :
36,85351435 BTC · 3,87429558 BTC
Adresse de l’attaquant :
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37
Coffre-fort THORChain :
bc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvm7zhyv
Transactions de retrait :
Voir toutes sur mempool.space (descendre jusqu’aux transactions)
Activité malveillante sur Avalanche
Stablescoins Avalanche et actifs équivalents à SOL vidés :
238 325,94 USDC · 43 041,25 USDT · 388,94 SOL
Adresse de l’attaquant :
0xd477b69551f49C0519F9B18c55030676138890Bd
Coffre-fort THORChain :
0x82A3580296b014c27cFe6be23Ed471c30D878Bda
Transactions de retrait :
0xd477b69551f49C0519F9B18c55030676138890Bd
Activité malveillante sur Base
Transaction unique de retrait vidant des USDC :
55 912,41 USDC
Adresse de l’attaquant :
0xd477b69551f49C0519F9B18c55030676138890Bd
Coffre-fort THORChain :
0x82a5cf67f3e6970c0529122178075c0a94878bda
Transaction unique de vidage :
0x4370739cf3f443fe129727ea1a9e215783d881c643f3ea1d12ce822aeb3e6af8
Activité malveillante sur Dogecoin
Près de 7,82 millions de DOGE (environ 900 000 dollars) vidés dans deux transactions de retrait quasi identiques :
3 911 749,91 DOGE · 3 911 751,03 DOGE
Adresse de l’attaquant :
DBLJWFemMHbduKofBRg6TJ9XFAgWdvFCjS
Coffre-fort THORChain :
DDL3tEh5P5vjSCNyU7t7sz9DQykRnr97d2
Transactions de retrait :
Voir sur BlockChair
Activité malveillante sur Litecoin
LTC extraits du coffre-fort :
6 866,74772083 LTC
Adresse de l’attaquant :
ltc1qg0h4rz5kf27fkr99gamw4heg20rfz5epd7m7wh
Coffre-fort THORChain :
ltc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvlzcnuu
Transaction unique de vidage :
F5985741ef6d7418cd2f0f4e909b6f0d525f18c6010cca48d846731f23972bd4
Activité malveillante sur Bitcoin Cash
BCH transféré depuis le coffre-fort dans une seule transaction :
638,52948245 BCH
Adresse de l’attaquant :
qpp775v2je9texcv54rhd6kl9pfudy2nyyz4df2uvc
Coffre-fort THORChain :
qpvaxhtcpkc8038ape3p3nuvlgd7makwds74qyng5p
Transactions de retrait :
Voir sur Blockchain
Activité malveillante sur XRP
XRP vidés en deux transactions :
25 404,922305 XRP · 16,999982 XRP
Adresse de l’attaquant :
rwoGBrYEJ28jhBjchrTyCGXd1Pt4pobFBz
Coffre-fort THORChain :
r9BxLykSngpSuUU4jXtZLDycXip3Suo7Rf
Transactions de retrait :
Voir sur XRPScan
Activité malveillante sur TRON
89 172 TRX échangés contre 31 215 USDT via SunSwap, puis pontés vers Ethereum — 13,9 ETH envoyés vers un centre de blanchiment Ethereum connu.
Les signatures, transactions et vérifications de solvabilité sur TRON ont été arrêtées et désactivées dans Mimir, conformément au modèle observé sur les blockchains affectées.
Adresse de l’attaquant :
TXmo5sdVCvQnJgbvjAUpQJfyNx5EnqtAM3
Coffre-fort THORChain :
TMt1UgzBNKETQMgGckJDomcMQhvwhGUiXo
Transactions de vidage sur TRON :
0ee50dd1af24c08a2f73fab18dd96897fcd6c08cfca0a6397b519c8fe1fdf1f4
Livraison sur Ethereum :
0x09c4bc73fddaac5697a609cb448cefc26e13ccba22ce1b762b309b010e0db5f4
Fonds transférés vers l’adresse Ethereum :
0x82fc0d5150f3548027e971ec04c065f3c93154eb
La déclaration officielle de THORChain confirme que les opérateurs de nœuds chargés de protéger le coffre-fort compromis se sont vu appliquer une pénalité de réduction (« slashing ») de leur mise en jeu de RUNE en raison de transactions de retrait non autorisées.
Les fonds détenus par le protocole ont été perdus. Selon l’évaluation préliminaire de l’équipe, aucune transaction d’utilisateurs individuels n’a été affectée. Le mécanisme de pénalisation a fonctionné. Le coffre-fort, non.
L’attaque semble soudaine, mais ne l’est pas.
Chainalysis a publié le 15 mai un fil Twitter en cinq parties traçant les activités préparatoires menées sur plusieurs semaines à partir de fin avril — les attaquants se sont financés via Monero, ont mis en jeu des RUNE pour devenir le nœud vecteur de l’attaque, et ont transféré 8 ETH vers le portefeuille final récepteur 43 minutes avant le vidage.
Plusieurs blockchains. Un opérateur patient. Trois semaines de préparation. Le réseau s’est suspendu automatiquement dès qu’il a détecté un dysfonctionnement — à ce moment-là, les attaquants avaient déjà accompli leur objectif.
Que signifie-t-il lorsque la meilleure qualité de votre sécurité réside uniquement dans sa rapidité à confirmer les dommages ?
Audité, mais pas là où il fallait
THORChain dispose d’auditeurs.
Après la faille de 2021, il a lancé un programme de primes aux bogues via ImmuneFi, avant d’en sortir dans des circonstances controversées pour adopter un programme géré en interne, lui-même retiré en mars 2026 — soit deux mois avant la nouvelle faille.
Il possède un historique sérieux en matière de sécurité : après la catastrophe de 2021, il a engagé à la fois Halborn et Trail of Bits, mettant en œuvre un plan de relance en cinq volets comprenant des tests de pénétration, le renforcement du protocole et des audits formels signés, avant de redémarrer.
Rien de tout cela n’est contesté. Ce qui l’est, c’est l’orientation des audits.
Après la faille de 2021, Trail of Bits a réalisé un audit complet du code du protocole central de THORChain — THORNode, le pont interchaînes Bifrost, et surtout l’implémentation tss-lib soutenant le système de trésoreries TSS.
Halborn a mené un test d’intrusion distinct couvrant la pile THORNode, Bifrost et la sécurité des trésoreries — y compris un examen approfondi de l’implémentation de la signature seuil.
Les deux audits ont obtenu des notes satisfaisantes. Aucune vulnérabilité critique non résolue n’était signalée à la publication.
En décembre 2021, Trail of Bits est allé plus loin en divulguant une vulnérabilité dans le partage secret de Shamir au sein de tss-lib, directement impactant THORChain.
THORChain a corrigé la faille. Le protocole a redémarré. L’audit est devenu obsolète.
Depuis lors, Halborn est resté très actif, réalisant huit évaluations de sécurité indépendantes entre janvier et novembre 2025.
Chacune portait sur Rujira, la couche applicative de contrats intelligents de THORChain : contrats de prêt, DEX à livre d’ordres, module de staking, pools de prêt.
Un travail utile. Un travail nécessaire. Mais totalement déconnecté de la couche qui vient de perdre 10,7 millions de dollars.
2020 – Premiers travaux de sécurité :
CertiK · Avril 2020 · Revue du code THORChain
Kudelski Security · Juin 2020 · TSS THORChain
IOActive · Novembre 2020 · Test de pénétration
2021 – Protocole central :
Trail of Bits · Août 2021 · Cœur THORChain + tss-lib
Halborn · Septembre 2021 · Audit TSS
Halborn · Septembre 2021 · Machine à états, Router + Bifrost
Trail of Bits · Décembre 2021 · Partage secret de Shamir dans tss-lib — Divulgation de vulnérabilité (corrigée)
2024/2025 – Couche d’observation Bifrost :
Zellic · Novembre 2024 · THORChain Bifrost
Zellic · Janvier 2025 · Client UTXO Bifrost THORChain
2025 – Couche applicative Rujira uniquement :
Halborn · Janvier–février 2025 · Contrat intelligent Rujira Trade (FIN)
Halborn · Février 2025 · Contrat intelligent Rujira Pools (BOW)
Halborn · Mars–avril 2025 · Contrat intelligent Rujira Staking
Halborn · Mai 2025 · Produit d’indice Rujira du protocole NAMI
Halborn · Août 2025 · Contrat intelligent CALC Manager/Scheduler/Strategy
Halborn · Octobre 2025 · Contrat intelligent Ghost Vault (RUJI prêt)
Halborn · Octobre–novembre 2025 · Contrat intelligent Ghost Credit (compte de crédit)
Halborn · Novembre 2025 · Contrat intelligent Rujira Trade FIN v1.1
La fourche de tss-lib GG20 — implémentation cryptographique centrale de cette faille — n’a fait l’objet d’aucun audit documenté depuis 2021. L’ensemble du codebase THORChain a récemment bénéficié de certaines attentions, mais aucune n’a touché cette couche.
Bifrost a récemment reçu davantage d’attention : Zellic a audité la couche d’observation, tandis que le concours Code4rena de 2024 couvrait la logique d’analyse des contrats intelligents EVM.
Mais la bibliothèque cryptographique centrale de cette faille, que Taylor Monahan qualifie de « obsolète de plusieurs années » en matière de versions sécurisées, n’a fait l’objet d’aucun examen formel depuis la divulgation publique de ses vulnérabilités critiques.
Aucun des huit audits de 2025 ne l’a abordée.
TSSHOCK et CVE-2023-33241, deux vulnérabilités majeures de GG20, ont toutes deux été divulguées en 2023.
L’audit de tss-lib par Trail of Bits précède ces deux divulgations.
Le protocole a continué à fonctionner sur la même bibliothèque, traversant deux vulnérabilités critiques publiques, sans subir de réaudit formel de ce composant spécifique.
Il faut être clair : un audit est une évaluation ponctuelle. Il prouve, à un instant donné et dans un périmètre défini, ce qu’il est censé prouver.
Halborn n’a pas découvert les vulnérabilités GG20 en 2021, car elles n’étaient pas encore publiques.
Ce qui est plus difficile à expliquer, c’est pourquoi aucun audit ultérieur n’a été conduit sur la couche du protocole central après la divulgation de ces vulnérabilités.
Huit audits ont été menés en 2025, tous orientés vers la couche applicative, tandis que la base cryptographique détenant les trésoreries n’a pas été soumise à un examen formel depuis avant la divulgation publique de la vulnérabilité actuellement sous enquête.
Qui a décidé que cette posture était acceptable ?
THORChain a survécu à tout.
Deux failles en dix jours en 2021. Une crise d’insolvabilité de 200 millions de dollars, brièvement apparue comme une spirale mortelle. Un blanchiment de 1,2 milliard de dollars au profit de la Corée du Nord, divisant sa communauté et poussant des contributeurs clés à la démission.
Il a absorbé chaque coup, restructuré son organisation, maintenu son DEX opérationnel, et qualifié cela de « résilience ».
Mais il n’a jamais pleinement tiré les leçons de chaque événement.
La bibliothèque cryptographique protégeant les trésoreries est obsolète de plusieurs années en matière de versions sécurisées.
Le dernier audit du protocole central date d’avant la divulgation publique de la vulnérabilité actuellement sous enquête.
Pourtant, huit audits ont été publiés en 2025, chacun orienté vers un autre domaine.
Peu après la faille, des portails de remboursement fictifs ont circulé, visant les utilisateurs venant de voir disparaître leurs fonds.
Le 18 mai, THORChain a dû publier une mise en garde publique explicite : « Aucun portail de remboursement n’existe. Veuillez uniquement vous fier aux canaux officiels. »
Cette alerte figure toujours en bannière supérieure du site officiel de THORChain.
Un protocole ayant perdu 10,7 millions de dollars face à un attaquant patient et sophistiqué lutte le lendemain contre des opportunistes cherchant à exploiter ses propres victimes.
L’enquête se poursuit en collaboration avec THORSec et Outrider Analytics. Les autorités compétentes ont été saisies.
Un rapport préliminaire sur la faille a été publié le 20 mai. Un rapport complémentaire est à venir. Aucun plan de compensation n’a encore été annoncé.
Le vote de gouvernance ADR-028 concernant la gestion des pertes n’est pas encore clos.
Aucun calendrier n’a été fixé pour le redémarrage complet du réseau.
Le protocole ayant blanchi 1,2 milliard de dollars au profit de la Corée du Nord en a tiré au moins 12 millions de dollars de frais, selon une estimation conservatrice de Chainalysis, et se qualifie lui-même de « neutre ».
Lorsque Lazarus a frappé, les opérateurs de nœuds ont initialement voté pour suspendre les transactions ETH. Quelques minutes plus tard, ce vote était annulé.
Un contributeur clé a démissionné. Le réseau a continué à fonctionner.
Puis, le 15 mai, la trésorerie propre de THORChain a été vidée — ce protocole qui avait trouvé une justification philosophique pour ne pas arrêter face à Lazarus a trouvé, cette fois, une justification technique pour s’arrêter pendant douze heures et quarante-deux minutes.
Ce contraste n’a pas échappé à personne.
Reflette-t-il réellement une différence architecturale fondamentale, ou l’application sélective des principes de décentralisation ? C’est un dialogue que THORChain ne peut plus reporter.
THORChain survivra très probablement à cette nouvelle épreuve. Il l’a déjà fait, dans des circonstances encore plus difficiles.
Mais la survie et la responsabilité sont deux choses différentes, et jusqu’à présent, ce protocole excelle nettement plus dans la première que dans la seconde.
THORChain a cessé ses opérations pour la Corée du Nord lorsqu’il n’avait pas d’autre choix. Il se reconstruira à partir de cette nouvelle attaque, comme il l’a toujours fait.
Mais à quel moment la résilience cesse-t-elle d’être une vertu pour devenir une excuse ?
REKT est une plateforme publique anonyme ; REKT décline toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
Don (ETH / ERC20) : 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
Avertissement :
REKT décline toute responsabilité ou obligation de quelque nature que ce soit concernant tout contenu publié sur notre site ou en lien avec nos services, qu’il soit publié ou généré par des auteurs anonymes sur notre site, ou publié ou généré par REKT lui-même. Bien que nous établissions des règles régissant le comportement et les publications des auteurs anonymes, nous ne contrôlons pas, et ne sommes pas responsables, du contenu publié, transmis ou partagé par ces auteurs sur notre site ou via nos services, ni des contenus offensants, inappropriés, obscènes, illégaux ou autrement répréhensibles que vous pourriez y rencontrer. REKT n’est pas responsable des comportements, en ligne ou hors ligne, de tout utilisateur de notre site ou de nos services.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










