Un nouveau nœud a attendu deux semaines. Puis il a pris 10,7 millions de dollars de THORChain

** Un opérateur de nœud voyou a drainé 10,7 millions de dollars de THORChain le 15 mai via une vulnérabilité GG20. Voici la chronologie complète, la réponse de sécurité, et ce qui vient ensuite.**

Quelqu’un a rejoint le Discord des développeurs de THORChain le 1er mai sous le pseudonyme Dinosauruss. Le compte était neuf. Les questions étaient précises — comment faire entrer un nœud dans le réseau, et à quelle vitesse. L’intervalle normal de rotation de trois jours était déjà retardé pour des raisons indépendantes, ce qui signifiait qu’il fallait attendre.

Selon le Rapport d’Exploitation THORChain #1, publié le 20 mai, l’adresse du nœud de l’attaquant (n84q) est finalement entrée dans l’ensemble des validateurs actifs le 13 mai. Environ 635 000 RUNE répartis sur deux adresses de mise en gage. Assignés aléatoirement à l’un des cinq coffres, comme tout autre opérateur.

Le Nœud Qui Est Entré et n’est Jamais Parti

Pendant deux jours, le nœud a participé aux cérémonies de signature GG20 de routine. Rien ne semblait anormal. GG20, ou Gennaro-Goldfeder 2020, est le schéma de signature threshold que THORChain utilise pour répartir le contrôle des clés de coffre entre opérateurs indépendants. Aucun nœud unique ne détient la clé privée complète — en conditions normales.

Ce défaut a changé cela. Par une fuite progressive du matériel de clé à travers plusieurs rounds de signature, l’attaquant aurait reconstruit la clé privée complète du coffre. Lorsque la reconstruction a été achevée, les transactions sortantes ont été signées et diffusées directement, en dehors de la cérémonie GG20.

Le vérificateur de solvabilité réactif a détecté la divergence en quelques minutes. Il a constaté que le solde attendu dépassait le solde réel sur la chaîne par plus de 1 % sur plusieurs chaînes, déclenchant des arrêts automatiques sur ETH, AVAX, BSC, BASE, DOGE, et GAIA sans intervention humaine. Les fonds, estimés à $10M au départ, avaient déjà été déplacés.

Discord a été en effervescence avant que la réponse officielle ne soit donnée

Alors que l’activité du réseau se ralentissait, un membre de la communauté a signalé des transactions inhabituelles : plusieurs envois du routeur TC vers une adresse Ethereum sans mémo. Ce message est devenu la première alarme déclenchée par un humain. ZachXBT, sur X, a averti la communauté que THORChain pourrait avoir perdu plus de $10M sur Bitcoin, Ethereum, BSC, et Base.

Le nœud xuuu a été le premier à mettre en pause manuellement pendant 720 blocs. D’autres ont enchaîné rapidement d’autres pauses. Le système de gouvernance de THORChain est conçu pour cela : un seul nœud ne peut pas bloquer le réseau indéfiniment, mais plusieurs nœuds indépendants agissant rapidement peuvent maintenir une suspension suffisamment longtemps pour enquêter. Le 15 mai, environ 18 à 20 nœuds ont mis en pause simultanément.

Des votes formels de gouvernance Mimir ont suivi sur Discord. Le seuil de trois votes pour les paramètres opérationnels a été atteint. HALTTRADING s’est activé au bloc 26183438. HALTSIGNING au bloc 26183439. HALTCHAINGLOBAL au bloc 26183590. HALTCHURNING au bloc 26183849 — ce dernier pour empêcher le nœud malveillant de sortir du réseau.

L’ensemble du réseau a été verrouillé en environ deux heures après que la communauté a lancé l’alerte.

Ce que l’enquête a découvert, et ce qu’elle a retenu

La première déclaration publique de l’équipe de développement est arrivée à 11h01 le 15 mai, estimant les pertes à 7,4 millions de dollars et listant trois vecteurs en cours d’investigation : une vulnérabilité GG20, une compromission d’infrastructure, et d’autres. Les opérateurs de nœuds ont été invités à auditer leur infrastructure et à soumettre des logs Bifrost.

À 19h10 ce même jour, la situation était plus claire. La forensic on-chain a relié l’adresse du nœud malveillant thor16ucjv3v695mq283me7esh0wdhajjalengcn84q aux adresses Ethereum ayant reçu les fonds volés. Le chiffre de perte révisé s’élevait à environ 10,7 millions de dollars. La coordination avec Outrider Analytics et les forces de l’ordre était déjà en cours, selon le rapport officiel.

Le paysage de la sécurité DeFi en 2026 avait déjà enregistré $620M des pertes jusqu’en avril seul. L’incident de THORChain a renforcé les préoccupations concernant les vulnérabilités cryptographiques dans l’infrastructure cross-chain.

Patch publié, récupération toujours en cours

Le 16 mai, l’équipe marketing a publié un avertissement contre les arnaques. Des schémas de faux airdrops et de remboursements se répandaient déjà sur les réseaux sociaux. THORChain a confirmé qu’elle n’a pas de programme actif de remboursement ou d’airdrop.

D’ici le 18 mai, la version de patch v3.18.1 était imminente. L’équipe de développement a indiqué avoir une compréhension solide de l’attaque, mais retient les détails techniques jusqu’à ce que d’autres projets utilisant la même implémentation GG20 puissent être alertés discrètement et patcher leurs propres systèmes. Tous les opérateurs de nœuds ont été invités à réduire la taille des pods Bifrost avant la sortie.

Le chemin complet de récupération dépend de la gouvernance communautaire. ADR-028, le Document de Décision d’Architecture actuellement en discussion, déterminera comment les fonds perdus seront gérés. Les options en débat incluent la réduction des mises en gage et l’absorption de liquidités détenues par le protocole. La solution retenue devrait être mise en œuvre dans la v3.19.

THORChain avait déjà identifié DKLS, un schéma de signature threshold plus moderne, comme sa cible cryptographique à long terme. Silence Labs a été engagé en novembre 2025 pour construire une implémentation DKLS personnalisée avec des aborts identifiables. La livraison ciblée était prévue pour le premier ou deuxième trimestre 2026. GG20 est resté en production en attendant. L’attaquant est arrivé en mai.