Vulnérabilité Critique du Rujira Ghost Vault : Défaut de Logique de Distribution des Intérêts
Date : 15–16 Juin 2026
Rapporteur : Mohamed Elsaed (@MElsaed14410)
Cible : Rujira Network, Ghost Vault (CosmWasm, THORChain App Layer)
Le chercheur en sécurité Mohamed Elsaed a révélé publiquement une vulnérabilité logique critique dans le contrat rujira-ghost-vault après que l'équipe Rujira/THORChain n'ait pas répondu à son rapport privé. Le PoC v1.0.3 a réussi à déclencher une condition d'insolvabilité du protocole via la fonction distribute_interest, permettant à l'attaquant de siphonner des actifs liquides du vault et rendant l'ensemble des LP incapables de retirer des fonds.
Le Ghost Vault est un protocole de prêt-emprunt basé sur CosmWasm dans l'écosystème Rujira (THORChain). Le contrat maintient deux pools de comptabilité internes : le pool de dépôts et le pool de dettes. L'accumulation d'intérêts est traitée de manière linéaire et est déclenchée à chaque interaction (dépôt, emprunt, paiement, retrait).
L'audit de Halborn (Octobre 2025) avait précédemment identifié des risques similaires : l'absence de limite APR, le potentiel de donation de valeur statique, et une distribution des intérêts incohérente entre les pools, mais les corrections ont été rapportées comme appliquées seulement en partie.
La fonction distribute_interest est appelée à chaque interaction avec le vault. Son défaut de logique permet à l'attaquant d'extraire des actifs au-delà de la portion qui aurait dû lui revenir, vidant le vault de manière cumulative jusqu'à ce que le protocole ne soit plus en mesure de respecter ses obligations envers les LP.
Le test final_exploit_proof_insolvency a réussi, ce n'est pas un cas limite théorique, mais peut être déclenché de manière déterministe en production.
Elsaed a déclaré avoir effectué une divulgation responsable en privé. Étant donné que Rujira a choisi le silence, il a annoncé publiquement et a appelé des auditeurs externes (PeckShieldAlert, CertiK, SlowMist) pour une enquête indépendante.
À noter : THORChain a lui-même récemment subi l'exploitation GG20-TSS d'une valeur d'environ ~$10,7 millions le 15 Mai 2026, aggravant la confiance dans la sécurité de cet écosystème dans son ensemble.
Références
https://www.halborn.com/audits/thorchain-rujira/ruji-lending-48bc98
https://github.com/code-423n4/2025-12-rujira
https://code4rena.com/audits/2025-12-rujira
Date : 15–16 Juin 2026
Rapporteur : Mohamed Elsaed (@MElsaed14410)
Cible : Rujira Network, Ghost Vault (CosmWasm, THORChain App Layer)
Le chercheur en sécurité Mohamed Elsaed a révélé publiquement une vulnérabilité logique critique dans le contrat rujira-ghost-vault après que l'équipe Rujira/THORChain n'ait pas répondu à son rapport privé. Le PoC v1.0.3 a réussi à déclencher une condition d'insolvabilité du protocole via la fonction distribute_interest, permettant à l'attaquant de siphonner des actifs liquides du vault et rendant l'ensemble des LP incapables de retirer des fonds.
Le Ghost Vault est un protocole de prêt-emprunt basé sur CosmWasm dans l'écosystème Rujira (THORChain). Le contrat maintient deux pools de comptabilité internes : le pool de dépôts et le pool de dettes. L'accumulation d'intérêts est traitée de manière linéaire et est déclenchée à chaque interaction (dépôt, emprunt, paiement, retrait).
L'audit de Halborn (Octobre 2025) avait précédemment identifié des risques similaires : l'absence de limite APR, le potentiel de donation de valeur statique, et une distribution des intérêts incohérente entre les pools, mais les corrections ont été rapportées comme appliquées seulement en partie.
La fonction distribute_interest est appelée à chaque interaction avec le vault. Son défaut de logique permet à l'attaquant d'extraire des actifs au-delà de la portion qui aurait dû lui revenir, vidant le vault de manière cumulative jusqu'à ce que le protocole ne soit plus en mesure de respecter ses obligations envers les LP.
Le test final_exploit_proof_insolvency a réussi, ce n'est pas un cas limite théorique, mais peut être déclenché de manière déterministe en production.
Elsaed a déclaré avoir effectué une divulgation responsable en privé. Étant donné que Rujira a choisi le silence, il a annoncé publiquement et a appelé des auditeurs externes (PeckShieldAlert, CertiK, SlowMist) pour une enquête indépendante.
À noter : THORChain a lui-même récemment subi l'exploitation GG20-TSS d'une valeur d'environ ~$10,7 millions le 15 Mai 2026, aggravant la confiance dans la sécurité de cet écosystème dans son ensemble.
Références
https://www.halborn.com/audits/thorchain-rujira/ruji-lending-48bc98
https://github.com/code-423n4/2025-12-rujira
https://code4rena.com/audits/2025-12-rujira