AI News CryptoTRADE THE NEWS
THORChain launches self-custodial refund portal after confirming $10M exploit
Crypto
Bitcoin
BNB
Ethereum

THORChain lance un portail de remboursement après un vol…

Les demandes se terminent le 4 juin, avec les allocations non réclamées qui sont transférées dans le fonds d'assurance du protocole.

Par AI News Crypto Editorial Team8 min de lecture

THORChain a confirmé un exploit de 10 millions de dollars et a ouvert un portail de récupération qui permet aux utilisateurs affectés de révoquer les approbations de jetons malveillants et de soumettre des demandes de remboursement sans remettre la garde. Le processus de demande est soutenu par un fonds de 10 millions de dollars et dure 21 jours, se terminant le 4 juin.

Points clés

  • Un exploit de 10 millions de dollars a été confirmé, et un portail de récupération permet désormais aux utilisateurs affectés de révoquer les approbations de jetons malveillants et de déposer des demandes de remboursement via un flux degarde.
  • Un fonds de remboursement de 10 millions de dollars a été provisionné à partir des fonds de la trésorerie pour correspondre au montant de l'exploit signalé.
  • Le portail attribue le drain à 36,75BTC (environ 3 millions de dollars) plus environ 7 millions de dollars en jetons à traversBNB Chaîne, Ethereum, et Base, impactant 12 847 portefeuilles à travers quatre chaînes.
  • Les réclamations doivent être soumises d'ici le 4 juin, et toute allocation non réclamée s'intègre dans le fonds d'assurance de THORChain.

L'exploit de 10 millions de dollars de THORChain : le portail de récupération est en ligne

THORChain est passé de la gestion de l'incident à la remédiation des utilisateurs. Le protocole a confirmé un exploit de 10 millions de dollars et a lancé un portail de récupération conçu pour faire deux choses qui comptent immédiatement : aider les utilisateurs à révoquer les approbations de jetons malveillants et leur permettre de soumettre des demandes de remboursement.

Le portail est explicitement auto-géré. Ce cadre n'est pas cosmétique. Les utilisateurs sont orientés vers une étape de nettoyage des autorisations, et non invités à transférer actifs ou des clés à un tiers pour "récupérer" des fonds. Les approbations de jetons sont les autorisations onchain qu'un portefeuille accorde à un contrat ou adresse pour dépenser des jetons spécifiques.

Si une approbation a été accordée à un dépensier malveillant, la révoquer est le moyen le plus rapide de réduire le risque de drains ultérieurs depuis le même portefeuille.

L'autre détail marquant est l'argent derrière le processus. THORChain a mis en place un fonds de remboursement de 10 millions de dollars provisionné à partir de sa trésorerie, dimensionné pour correspondre au montant de l'exploitation. Dans un post de samedi sur X, la Fondation THORChain a présenté le portail et a déclaré que "les utilisateurs affectés peuvent désormais vérifier ce qu'ils seront payés en compensation suite à l'exploitation."

Ce qui se démarque ici, c'est le séquençage. Le protocole paie tout en continuant d'enquêter. Ce choix tend à réduire les dommages de second ordre, comme les utilisateurs qui paniquent et dénouent des positions à travers des lieux connectés ou traitent chaque flux lié à THORChain comme toxique jusqu'à ce qu'un post-mortem soit publié.

Les chiffres dont les traders ont besoin : 36,75 BTC, ~7M de jetons, 12 847 portefeuilles

Le résumé des incidents du portail met des chiffres précis sur l'ampleur : 36,75 BTC drainés, d'une valeur d'environ 3 millions de dollars, plus environ 7 millions de dollars en jetons. L'activité a touché BNB Chain, Ethereum et Base, et le portail compte 12 847 portefeuilles impactés à travers quatre chaînes.

Pour les traders, l'empreinte multi-chaînes est le point. Ce n'est pas un échec de smart contract à chaîne unique où l'exposition est proprement circonscrite. Lorsqu'un incident touche BNB Chain, Ethereum et Base dans une seule narration, cela devient un événement de risque inter-chaînes.

Vous surveillez le comportement en cascade dans les approbations, l'hygiène des portefeuilles et tout routage adjacent à THORChain qui dépend de la signature sortante.

Opérationnellement, le portail fournit également un point de données sur le temps de réponse. Il cite un post-mortem de PeckShield et indique que l'attaque a été détectée à 02h14 UTC le 11 mai après que les opérateurs de nœuds aient signalé des transactions sortantes anormales. Le trading et la signature sortante ont été suspendus dans les huit minutes.

Huit minutes n'est pas un verdict, mais c'est une entrée mesurable pour la rapidité avec laquelle le système peut passer d'opérations normales à la containment lorsque les transactions sortantes semblent incorrectes. Dans les systèmes inter-chaînes, cette vitesse de containment fait partie du produit.

Si la signature sortante est le mécanisme qui déplace la valeur, alors la capacité à l'arrêter rapidement fait la différence entre une perte contenue et une perte en cascade.

À l'intérieur de l'échec suspect : fuite de matériel clé TSS GG20

La mise à jour de l'incident de THORChain cadre la cause profonde comme une « théorie principale », et non une détermination finale. Le protocole a déclaré que l'attaquant avait exploité une vulnérabilité dans son implémentation du schéma de signature seuil GG20 (TSS).

Le TSS est la configuration cryptographique où plusieurs parties contrôlent conjointement la signature afin qu'aucun nœud unique ne détienne la clé privée complète. GG20 est le protocole TSS spécifique et l'implémentation à laquelle THORChain a fait référence. Le mode de défaillance allégué n'est pas un simple bug qui permet à un attaquant d'appeler une fonction et de vider un contrat.

La théorie énoncée est une fuite progressive de matériel clé sensible au fil du temps, suffisamment pour qu'un attaquant puisse reconstruire la clé privée du coffre et autoriser des transactions sortantes non autorisées.

Cette distinction est importante pour la façon dont les traders devraient interpréter le risque. Un bug de contrat intelligent est souvent limité à un contrat et une chaîne. Un chemin de fuite de matériel clé est plus proche d'un échec de sécurité opérationnelle au niveau de la signature.

Si l'attaquant peut reconstruire une clé de coffre, les hypothèses de sécurité du système sont remises en question au point exact où la valeur inter-chaînes se déplace.

THORChain a également lié l'enquête au cycle de vie des nœuds. Il a déclaré qu'un nœud nouvellement renouvelé était entré dans le réseau plusieurs jours avant l'attaque et est actuellement considéré comme associé à celle-ci. Le protocole a déclaré avoir identifié desliensentre les adresses de liaison du nœud et les portefeuilles qui ont reçu des fonds volés.

Aucune de ces informations n'est une attribution finale. Cependant, cela réduit l'enquête loin d'une « exploitation externe aléatoire » et vers l'intégration et le renouvellement des validateurs ou des nœuds comme surface de risque. C'est une classe de problème différente, et il a tendance à être plus difficile à rejeter complètement sans un post-mortem détaillé.

Délais et prochains signaux jusqu'au 4 juin

La fenêtre de réclamation est le catalyseur principal. Les utilisateurs concernés ont 21 jours pour soumettre des réclamations, et le portail fixe le 4 juin comme date limite. Toute allocation non réclamée est transférée dans le fonds d'assurance de THORChain.

À cette date, il y a quatre signaux qui feront passer l'histoire de la narration à des résultats mesurables.

Le premier est l'adhésion aux réclamations. Que THORChain divulgue ou non combien du pool de 10 millions de dollars est réclamé par rapport à ce qui reste inactif vous dira à quel point le portail atteint efficacement les 12 847 portefeuilles impactés.

Le deuxième est la clarté des causes profondes. Toute mise à jour post-mortem qui confirme ou révise la théorie de la fuite de matériel clé TSS GG20 changera la façon dont le marché évalue le risque opérationnel par rapport au risque de code.

Le troisième est la force d'attribution autour du nouveau nœud renouvelé. THORChain a déclaré que son Trésor collecte des données d'analyse judiciaire et coordonne avec Outrider Analytics et les agences d'application de la loi pertinentes "dans le but d'identifier l'attaquant et de poursuivre la récupération des fonds volés lorsque cela est possible."

Si le protocole publie plus de détails sur les adresses de liaison et les preuves de lien on-chain, cela renforcera soit le dossier, soit forcera un pivot.

Le quatrième est de savoir si les restrictions de trading et de signature sortante changent à nouveau alors que des mesures d'atténuation sont déployées et que la surveillance est renforcée. La pause de huit minutes est un point de données. Le prochain point de données est comment le système rouvre, et sous quelles contraintes.

Ce que cet incident dit sur le risque opérationnel inter-chaînes

Je le lis comme une réponse axée sur la remédiation à une exploitation de nature opérationnelle, et non comme un débat de gouvernance au ralenti sur qui sera indemnisé.

Les faits qui ancrent ce point de vue sont simples. THORChain a confirmé une exploitation de 10 millions de dollars, lancé un portail de récupération et financé un pool de trésorerie de 10 millions de dollars pour compenser la perte. C'est un choix de compresser l'incertitude pour les utilisateurs.

En pratique, cela peut également compresser l'incertitude pour la liquidité, car les utilisateurs qui croient pouvoir être indemnisés sont moins susceptibles de traiter chaque position connectée comme une sortie forcée.

Le problème de second ordre est le mécanisme suspecté. Une "théorie principale" de la fuite de matériel clé GG20 TSS n'est pas la même qu'une cause racine confirmée, mais elle pointe directement vers la couche de signature. Dans les systèmes inter-chaînes, la couche de signature est le joyau de la couronne.

Si le chemin de l'attaquant est "accumuler du matériel fuité, reconstruire une clé de coffre, puis pousser des transactions sortantes non autorisées", le risque n'est pas isolé à un seul appel de contrat. Il s'agit de la manière dont les secrets sont gérés à travers le temps, à travers les nœuds et à travers les événements de rotation.

C'est pourquoi les détails du nœud nouvellement rotatif sont importants. THORChain dit effectivement que l'enquête est centrée sur le risque lié au cycle de vie des validateurs ou des nœuds, avec des liens on-chain entre les adresses de mise et les portefeuilles de réception.

Si ce lien est ensuite corroboré avec plus de détails, cela validera l'idée que la rotation et l'intégration sont des moments de risque élevé qui méritent des contrôles plus stricts. Si cela n'est pas corroboré, le marché considérera l'angle du nœud comme une hypothèse précoce et se recentrera sur l'implémentation GG20 elle-même.

Je surveille trois scénarios jusqu'au 4 juin.

Le scénario un est une remédiation propre avec une clarté croissante. Des réclamations sont déposées, le pool distribue de manière significative, et THORChain publie un post-mortem mis à jour qui confirme soit le chemin de fuite GG20, soit le remplace par une explication plus précise.

La confirmation ressemblerait à un compte rendu détaillé de la manière dont le matériel clé a fui "graduellement" et quelles mesures spécifiques empêchent la récurrence. L'invalidation ressemblerait à THORChain revenant sur l'angle GG20 et présentant une autre cause racine qui correspond mieux à l'enregistrement judiciaire.

Le scénario deux est que la remédiation fonctionne mais l'attribution reste floue. Le portail paie, mais la "théorie principale" reste une théorie et le lien du nœud nouvellement rotatif reste au niveau des connexions on-chain affirmées. Dans ce cas, le marché obtient une stabilité à court terme mais conserve une remise de risque structurel car le mode de défaillance n'est pas entièrement déterminé.

Le scénario trois est un resserrement opérationnel qui contraint l'activité. Si les restrictions de signature sortante restent élevées ou changent de manière répétée au fur et à mesure que les mesures d'atténuation sont mises en œuvre, cela signale que le protocole n'est toujours pas certain de la surface d'attaque.

Cela garderait les traders concentrés sur la sensibilité des flux inter-chaînes plutôt que sur le chiffre unique de 10 millions de dollars.

La thèse centrale est que THORChain essaie de regagner rapidement la confiance tout en enquêtant sur un mode de défaillance de la couche de signature, et cela sera confirmé si l'adoption des réclamations est forte d'ici le 4 juin et que le post-mortem valide ou remplace de manière décisive la théorie de fuite de clé GG20 par des atténuations concrètes.

Sources