Le CTO de Ledger signale un risque MPC après le coup dur de 10,8 millions de dollars sur THORChain

THORChain (RUNE) a stoppé le trading et la signature vendredi après que des attaquants ont siphonné environ 10,8 millions de dollars d'un de ses coffres Asgard, le CTO de Ledger signalant des faiblesses possibles en matière de MPC.
Coffre Asgard vidé sur quatre chaînes
Le protocole de liquidité cross-chain a mis en pause les opérations de trading et de signature après que l'enquêteur on-chain ZachXBT a signalé des sorties suspectes ciblant des coffres sur Bitcoin (BTC), Ethereum (ETH), BNB Chain et Base.
Dans une déclaration, THORChain a indiqué que le réseau avait automatiquement détecté une activité anormale et suspendu la signature pour bloquer d'autres transferts sortants.
Un des six coffres Asgard semblait compromis, le churn a été suspendu, et les opérateurs de nœuds ont été invités à revoir la gestion des clés et la sécurité opérationnelle.
Le module de gouvernance Mimir du protocole a basculé les arrêts de trading et de signature en actif, avec une pause d'environ 12 heures à partir du bloc 26190429.
Les portefeuilles liés à l'attaquant détiennent environ 3 443 ETH, 36,85 BTC et 96,6 BNB, ainsi que USDT, USDC, WBTC, AAVE, et LINK. RUNE a chuté d'environ 12 % suite à la nouvelle, tombant vers 0,50 $. THORChain a déclaré que les premières indications suggèrent que les fonds des utilisateurs n'ont pas été directement affectés.
À lire aussi : La Station Spatiale Gemini frappée par plusieurs allégations de fraude en valeurs mobilières après l'IPO
Le CTO de Ledger alerte sur le risque MPC
Charles Guillemet, directeur technique du fabricant de portefeuilles matériels Ledger, a suggéré que l'incident pourrait impliquer des faiblesses dans l'infrastructure du schéma de signature seuil.
Citant des remarques du contributeur de THORChain JP Thor, Guillemet a déclaré que la violation pourrait être un exploit MPC impliquant GG20, un protocole de signature seuil utilisé dans certains systèmes de portefeuille de calcul multipartite.
Il a noté que les protocoles précédents GG18 et GG20 ont rencontré des vulnérabilités critiques, y compris CVE-2023-33241 et TSSHOCK.
Guillemet a averti que les avancées dans la découverte de vulnérabilités assistée par l'IA pourraient abaisser le niveau de difficulté pour compromettre l'infrastructure des validateurs autrefois considérée comme difficile à attaquer.
Un chemin d'attaque théorique, a-t-il dit, pourrait impliquer de compromettre un validateur, d'attendre qu'il rejoigne un coffre actif, d'exploiter des preuves malformées lors de la signature, et de reconstruire les clés de coffre hors ligne. Il a averti que la cause profonde reste floue, et les enquêteurs n'ont pas confirmé si un défaut connu de GG20 ou une nouvelle faiblesse était impliqué.
Récemment, le dossier de sécurité de THORChain
Les coffres de THORChain dépendent de la TSS, un système cryptographique qui permet à plusieurs nœuds de produire conjointement des signatures sans reconstruire la clé privée complète en un seul endroit. L'architecture a longtemps été considérée comme une force de la DeFi cross-chain, mais elle a maintenant attiré de nouveaux examens.
Le protocole a traversé plusieurs incidents très médiatisés au cours de l'année dernière. En février 2025, les attaquants derrière le hack de 1,4 milliard de dollars de Bybit ont routé près de 1,2 milliard de dollars à travers THORChain pour convertir des actifs en Bitcoin.
L'exploitant de KelpDAO a également utilisé le protocole THORChain pour déplacer environ 80 millions de dollars en Ether, tandis que JP Thorbjornsen, co-fondateur de THORChain, a perdu 1,35 million de dollars dans une arnaque Zoom deepfake en septembre 2025.
À lire ensuite : La Semaine de la Blockchain en Asie du Sud-Est amène Ripple, Avalanche, la Fondation Solana, et le K-Pop à Bangkok