THORChain a indiqué que, après la détection d'activités anormales, le réseau a suspendu les opérations de transaction et de signature afin d'empêcher davantage de retraits de fonds. Selon les informations divulguées par les parties du protocole et des chercheurs en sécurité, un coffre Asgard aurait été attaqué, entraînant une perte estimée entre 10,7 et 10,8 millions de dollars américains.
Les fonds propres du protocole sont affectés.
Dans un communiqué publié le 15 mai, THORChain a indiqué qu'un des six coffres Asgard pourrait avoir été compromis, et que le processus de churn actuel a été suspendu. Le protocole demande également aux opérateurs de nœuds de vérifier leur infrastructure, leur système de gestion des clés et leur sécurité opérationnelle afin d'identifier d'éventuels risques supplémentaires.
Les parties impliquées ont initialement indiqué que les fonds des utilisateurs ne semblent pas avoir été directement affectés, les pertes connues à ce jour étant principalement limitées aux fonds propres du protocole.
- Objets affectés : 1 coffre Asgard
- Estimation des pertes : environ 10,7 à 10,8 millions de dollars américains
- Mesures actuelles : suspension de la signature, suspension des transactions, suspension du churn
Les chercheurs pointent les risques liés à MPC/TSS
Charles Guillemet, CTO de Ledger, a déclaré que cet incident pourrait être lié à une faiblesse infrastructurelle liée au schéma de signature seuil. Il a cité JP Thor, contributeur de THORChain, qui a affirmé que cette attaque « pourrait être une attaque MPC » et a mentionné des protocoles de signature seuil tels que GG20.
Les coffres de THORChain dépendent du mécanisme TSS. Ce mécanisme permet à plusieurs nœuds de signer conjointement sans regrouper la clé privée complète en un seul point. Guillemet a souligné que des protocoles tels que GG18 et GG20 ont auparavant révélé des vulnérabilités graves, notamment CVE-2023-33241 et TSSHOCK.
Il a également mentionné que, dans certains scénarios d'attaque déjà rendus publics, une seule partie de signature conjointe compromise pourrait théoriquement récupérer suffisamment d'informations pour reconstituer la clé de signature complète.
Le chemin d'attaque n'est pas encore confirmé.
Guillemet a également mentionné que, grâce à la capacité des grands modèles à détecter des vulnérabilités et à générer des exploits, les barrières à l'entrée pour les attaquants visant l'infrastructure des validateurs pourraient diminuer. Cela signifie que les environnements de nœuds autrefois considérés comme difficiles à compromettre font face à de nouvelles pressions sécuritaires.
Les chemins potentiels qu'il a mentionnés incluent : d'abord contrôler un nœud de validateur, attendre qu'il entre dans le coffre actif, puis exploiter des données de preuve anormales lors de la génération ou de la signature de clés, afin de reconstituer finalement la clé du coffre hors ligne. Toutefois, il a également souligné que la cause racine n'a pas encore été confirmée, et que les enquêteurs ne peuvent pas encore déterminer si cet événement provient d'une faiblesse connue du GG20 ou d'une nouvelle vulnérabilité inconnue.
Les contributeurs de THORChain ont indiqué que l'enquête est toujours en cours et que des mises à jour sur les mesures de correction seront publiées ultérieurement. Cet incident a également ravivé l'attention du marché sur la sécurité des infrastructures MPC et TSS, car ces solutions sont largement utilisées dans les protocoles cross-chain, les systèmes de custody et les services cryptographiques destinés aux institutions.