Thorchain perd près de 11 millions de dollars après que des pirates ont corrompu le processus de rotation des fonds sur quatre chaînes

Fonds Thorchain compromis

L'enquêteur on-chain ZachXBT a été le premier à signaler l'incident via sa chaîne Telegram, estimant les pertes initiales à plus de 7,4 millions de dollars avant que des estimations révisées ne fassent grimper le total. La faille a touché des coffres sur Bitcoin, Ethereum, BNB Smart Chain et Base.

La méthode d'attaque s'est appuyée sur un « vault churn », un processus standard de Thorchain dans lequel les opérateurs de nœuds se relaient tandis que les actifs sont redistribués à l'aide de schémas de signature à seuil. Les attaquants semblent avoir injecté des adresses malveillantes dans ce processus, trompant le système pour qu'il autorise des transferts qu'il n'aurait pas dû approuver.

Les actifs volés comprennent environ 3 443 ETH d'une valeur de 7,77 millions de dollars, 36,85 BTC d'une valeur d'environ 2,97 millions de dollars, 96,6 BNB d'une valeur d'environ 66 000 dollars, ainsi que d'autres tokens, dont 798 000 USDC selon les premiers rapports. Trois adresses impliquées dans le vol ont été signalées publiquement sur Bitcoin et Ethereum afin d'être suivies par les entreprises de sécurité.

Les opérateurs de nœuds ont réagi rapidement en déclenchant l'arrêt d'urgence mondial décentralisé de Thorchain via les paramètres de gouvernance Mimir du protocole. Cet arrêt a suspendu les échanges, les opérations sur les coffres-forts et la signature sur les chaînes affectées à partir du bloc 26190429 environ. Les transactions RUNE sur la chaîne native se sont poursuivies de manière limitée.

Le RUNE, le jeton natif de Thorchain, a chuté de 12 à 15 % dans les heures qui ont suivi l'alerte de ZachXBT. Le jeton est passé d'environ 0,58 $ à environ 0,50 $ sur les principales bourses. Les fournisseurs de liquidité et les utilisateurs restent en attente tandis que les sociétés de sécurité, notamment Peckshield et Cyvers, surveillent les adresses signalées.

Au moment de la rédaction de cet article, le compte @Thorchain sur X n'avait pas publié de message public concernant cette faille. Aucun rapport d'analyse rétrospective officiel n'a été publié, et les fonds sur les adresses identifiées semblent en grande partie inactifs. Thorchain a déjà été confronté à des attaques au niveau du protocole. En juillet 2021, plusieurs failles ciblant le routeur ETH ont permis de détourner entre 4,9 et 8 millions de dollars. L'équipe a couvert les pertes à partir de la trésorerie et a suspendu le protocole pour y apporter des corrections. Cette faille actuelle présente un profil de menace différent, mais touche un point faible bien connu : le processus de migration des coffres-forts. L'architecture du protocole a été conçue pour éviter les points de défaillance centralisés. Elle exploite plus de 90 nœuds décentralisés, ne détient aucune clé d'administration unique et évite les actifs « wrapped ». Cette conception a résisté à certains types d'attaques, mais le processus de migration a désormais été identifié comme une surface d'exploitation.

Thorchain a également attiré l'attention en 2025 et début 2026 en tant que voie de transit pour des fonds liés au piratage de Bybit, attribué au groupe Lazarus et ayant entraîné des pertes de près de 1,4 milliard de dollars, ainsi qu'à l'incident KelpDAO impliquant plus de 175 millions de dollars d'échanges ETH-BTC. Ces flux ont généré des frais pour le protocole mais ont suscité des critiques de la part des chercheurs en conformité et en sécurité.

Cette affaire est en cours. Les enquêtes se poursuivent, et les fournisseurs de liquidité devraient éviter toute interaction avec le protocole jusqu'à la reprise des transactions et la confirmation de tous les détails. Un compte rendu détaillé de la part des opérateurs de nœuds de Thorchain est attendu une fois la situation stabilisée. Les mises à jour seront publiées sur les pages de documentation de Thorchain, le compte X @Thorchain et l'API Midgard dès qu'elles seront disponibles.