THORChain a perdu environ 10,7 millions de dollars le 15 mai après qu’un opérateur de nœud malveillant a exploité des vulnérabilités dans le schéma de signature seuil du protocole. Désormais, le projet a un plan pour réparer la situation, et il ne passe pas par l’impression de nouveaux jetons.
La proposition de récupération, connue sous le nom d'ADR028, s'engage à couvrir les pertes en priorité par la liquidité détenue par le protocole, avec tout manque restant réparti proportionnellement entre les détenteurs d'actifs synthétiques. Aucun RUNE supplémentaire ne sera émis ou vendu. Pour les détenteurs existants, c'est ce détail qui compte le plus.
Ce qui s'est passé et comment cela a été arrêté
L'attaquant était un opérateur de nœud récemment ajouté qui avait rejoint le réseau THORChain seulement deux jours avant l'exploitation. Cette courte fenêtre a suffi à mener une attaque ciblant le schéma de signature seuil GG20, le système cryptographique qui régit la gestion des clés de coffre sur l'infrastructure décentralisée de THORChain.
THORChain utilise un système dans lequel plusieurs opérateurs de nœuds contrôlent collectivement les clés de coffre, de sorte qu'aucune partie unique ne puisse accéder aux fonds seule. L'attaquant a trouvé un moyen de reconstituer les clés privées critiques du coffre grâce à des vulnérabilités dans ce système, ce qui revient à forcer la serrure du trésor du protocole.
La bonne nouvelle est que le vérificateur automatique de solvabilité de THORChain a détecté l'anomalie en quelques minutes. Les opérations de trading et de signature ont été suspendues, et les opérateurs de nœuds ont coordonné la mise en gel complète du réseau en environ deux heures. Cette rapidité a empêché un retrait potentiellement bien plus important.
Aucune perte directe n'a affecté les fonds des utilisateurs ou les positions des fournisseurs de liquidité, selon le protocole. La réponse rapide a été rendue possible par le système de gouvernance Mimir de THORChain, qui permet aux opérateurs de nœuds d'ajuster les paramètres critiques sans attendre des cycles de gouvernance longs. Imaginez-le comme un frein d'urgence qui fonctionne réellement.
Le plan de récupération : ADR028
Voici comment ADR028 est structuré. La première ligne de défense est la liquidité détenue par le protocole, soit les réserves de capital du protocole existant dans ses pools de liquidité. La POL absorbe autant que possible des 10,7 millions de dollars de pertes avant que tout autre mécanisme ne soit déclenché.
Ce que POL ne couvre pas est réparti proportionnellement entre les détenteurs d'actifs synthétiques. Les actifs synthétiques sur THORChain sont des représentations dérivées d'actifs comme le bitcoin ou l'ethereum qui existent dans les pools du protocole. Les détenteurs de ces actifs synthétiques supporteront une part proportionnelle de tout déficit restant.
L'engagement crucial dans ADR028 est ce qu'il ne fera pas explicitement : créer de nouveaux jetons RUNE. Après un piratage, de nombreux protocoles ont recours à des mesures inflationnistes pour recapitaliser, réduisant ainsi légèrement la valeur de chaque jeton existant pour couvrir le déficit. THORChain adopte la position selon laquelle la dilution des détenteurs n'est pas une option.
Cela importe car la dilution des jetons après des exploitations est devenue une sorte de schéma récurrent dans la DeFi. C’est le levier le plus facile à actionner, mais il punit les personnes qui sont restées fidèles. En l’excluant dès le départ, THORChain émet autant une déclaration de gouvernance qu’une déclaration financière.
Le protocole a également offert une récompense aux hackers en chapeau blanc disposés à aider à récupérer les fonds volés, une approche standard mais souvent efficace dans les procédures de récupération après une violation. Des correctifs de sécurité supplémentaires ciblant les vulnérabilités GG20 TSS sont en cours de mise en œuvre dans le cadre de la correction provisoire publiée peu après l'incident.
Un schéma plus large de risque interchaînes
Les protocoles cross-chain occupent un coin particulièrement dangereux de la finance décentralisée. Par conception, ils relient des actifs entre différentes blockchains, ce qui signifie qu'ils doivent gérer des clés, des signatures et des mécanismes de consensus qui s'étendent simultanément à plusieurs réseaux. Chaque chaîne supplémentaire constitue une autre surface d'attaque.
L'espace blockchain a perdu des milliards de dollars à cause d'exploits depuis 2021, et les ponts cross-chain ont constamment été parmi les infrastructures les plus ciblées. THORChain lui-même a déjà fait face à des incidents de sécurité dans les années précédentes, ce qui fait de cette dernière exploitation une partie d'un défi récurrent plutôt qu'un événement isolé.
Regardez, le délai de réponse de deux heures et les vérifications automatisées de solvabilité sont véritablement impressionnants pour un système décentralisé. La plupart des institutions financières traditionnelles auraient du mal à identifier et à contenir une violation aussi rapidement. Mais le fait qu’un opérateur de nœud ayant rejoint seulement 48 heures plus tôt ait pu reconstituer les clés de coffre soulève de sérieuses questions sur la sécurité de l’inscription et les hypothèses de confiance intégrées au processus de rotation.
Ce que cela signifie pour les investisseurs
L'engagement sans dilution dans ADR028 est le détail le plus pertinent pour les investisseurs. Les détenteurs de RUNE ne sont pas invités à absorber la perte par le biais de l'inflation, ce qui préserve la dynamique de l'offre du jeton. Dans un marché où les trésoreries de protocole et l'économie des jetons peuvent changer du jour au lendemain après un piratage, ce type de garantie explicite a du poids.
Mais la confiance ne se construit pas uniquement sur des promesses. Les investisseurs doivent observer comment THORChain corrige les vulnérabilités GG20 TSS et si le protocole met en place des exigences plus strictes pour les nouveaux opérateurs de nœuds. Une fenêtre de deux jours entre l'adhésion au réseau et l'exécution d'une exploitation de 10,7 millions de dollars suggère que les barrières d'entrée pour les acteurs malveillants doivent être considérablement renforcées.
La prise en compte des détenteurs d'actifs synthétiques subissant des pertes proportionnelles est également à surveiller. Si les réserves de POL ne peuvent pas couvrir les 10,7 millions de dollars complets, la décote sur les positions synthétiques pourrait affecter la liquidité et l'activité de trading dans les pools de THORChain. Une liquidité réduite tend à élargir les écarts et à rendre le protocole moins compétitif pour les échanges interchaînes.
Pour le marché DeFi dans son ensemble, l'approche de reprise de THORChain pourrait établir un précédent. Si ADR028 restaure avec succès le protocole sans dilution et sans dommage durable à la profondeur de liquidité, elle devient un modèle que d'autres projets pourraient citer. Si elle échoue, elle devient un autre élément dans la preuve croissante selon laquelle les infrastructures cross-chain nécessitent une architecture de sécurité fondamentalement différente de celle des protocoles mono-chaîne.
La récompense pour la récupération des fonds ajoute une variable imprévue. Historiquement, certains exploitants ont restitué les fonds en échange de récompenses et d'immunité contre les poursuites. Que l'attaquant dans ce cas accepte cet accord ou ait déjà transféré les fonds via des mixeurs et des ponts déterminera la part réelle du déficit de 10,7 millions de dollars qui devra être absorbée.