THORChain braqué de l’intérieur : autopsie du vol de 10 millions $

Un validateur malveillant a détourné environ 10,8 millions de dollars sur THORChain le 15 mai 2026 en infiltrant le réseau de l’intérieur. L’attaquant a contourné les protections habituelles en produisant des signatures mathématiquement valides sans jamais forcer un contrat intelligent. La chronologie de ce braquage révèle une faille structurelle que les audits de sécurité traditionnels sont incapables de détecter.

Cet article contient des liens d’affiliation vous permettant de soutenir le travail quotidien des équipes du Journal Du Coin.

De Monero à THORChain : l’infiltration méthodique d’un faux validateur

L’attaque du 15 mai 2026 résulte d’une préméditation méticuleuse visant à pénétrer le cœur de l’infrastructure. Les analystes de Chainalysis ont retracé les flux financiers de l’attaquant dès la fin du mois d’avril 2026. 

L’individu a initialement brouillé les pistes en utilisant Monero, une cryptomonnaie anonyme, avant de déplacer ses fonds vers Hyperliquid, Arbitrum puis Ethereum.

Ces transferts successifs ont permis d’acheminer des centaines de milliers de dollars vers THORChain en toute discrétion. L’attaquant a converti ces capitaux en jetons RUNE pour financer sa caution et intégrer la liste officielle des nœuds validateurs du protocole décentralisé, spécialisé dans l’échange de cryptomonnaies natives entre blockchains. 

Le pirate a acquis le statut de gardien légitime du réseau plusieurs jours avant l’incident. Cette préparation financière démontre une volonté claire d’attaquer le système de l’intérieur pour esquiver les barrières de sécurité frontales.

Une faille crypto permet d’aspirer 10,8 millions de dollars

Le protocole n’a pas perdu ces fonds à cause d’un bug de contrat intelligent ou d’une clé volée. Le problème se situait dans la cryptographie elle-même. De l’intérieur, le pirate a exploité une faiblesse de GG20, la bibliothèque de signatures à seuil que THORChain utilise pour cosigner les transactions.

Chaque opération de validation courante laissait fuiter un fragment de clé privée vers le nœud de l’attaquant. Après un nombre suffisant de sessions, le pirate avait collecté assez de données pour reconstruire mathématiquement la clé privée complète du coffre. Il a ensuite signé des transactions sortantes non autorisées au nom du coffre.

Les contrats intelligents se sont comportés correctement et aucune infrastructure de validateur n’a été violée. Les fonds sont partis par des canaux normaux parce que les signatures étaient mathématiquement valides. L’exploitation de cette clé a permis le vol d’environ 10,8 millions de dollars, affectant directement les liquidités déposées par 12 847 utilisateurs du protocole. 

Le butin se compose de 36,75 BTC, soit près de 3 millions de dollars, et d’environ 7 millions de dollars d’altcoins sur BNB Chain, Ethereum et Base. 

Les outils d’Arkham Intelligence localisent une grande partie des fonds convertis sur une adresse unique détenant 3 443 ETH et 96,6 BNB, tandis que le jeton RUNE a chuté de 22,4 % en 24 heures.

Les validateurs actionnent l’arrêt d’urgence pour stopper l’hémorragie

Le code informatique du réseau n’a déclenché aucune alerte face à ces transactions cryptographiquement valides. 

L’arrêt d’urgence du protocole s’est orchestré directement par les validateurs humains après la remontée d’alertes on-chain signalant des anomalies dans les flux sortants. Ils ont immédiatement activé les interrupteurs de sécurité Mimir, le système de sécurité d’urgence intégré au code source du protocole, gelant instantanément toutes les fonctionnalités du réseau.

Le 16 mai, l’ouverture d’un guichet de récupération a été annoncée afin de permettre aux victimes de soumettre des demandes de remboursement. Ce dispositif, adossé à un pool de trésorerie du protocole d’un montant équivalent aux pertes, s’adresse aux propriétaires des 12 847 portefeuilles affectés par la crise.

Pour prétendre à cette indemnisation, les victimes disposent de 21 jours pour se connecter au portail, y révoquer les accès de l’application afin de sécuriser définitivement leur wallet personnel, et valider leur demande. La clôture définitive de cette procédure est fixée au 4 juin 2026.

Les capitaux non réclamés après cette date basculeront vers le fonds d’assurance du réseau.

Face à un piratage tous les trois jours, l’urgence d’une sélection impitoyable

L’écosystème de la finance décentralisée a subi 47 attaques distinctes au cours des 135 premiers jours de l’année 2026. Cette fréquence d’un incident tous les 2,9 jours démontre l’inefficacité des simples audits de contrats intelligents face aux vulnérabilités globales des infrastructures. 

Une sélection rigoureuse des placements exige d’écarter les applications aux mécanismes de validation inutilement complexes ou opaques.

Cette discipline d’analyse en profondeur explique pourquoi le Club 25 % affiche un bilan vierge de tout incident.

Le Club 25 %, c’est un club de 150 investisseurs qui gèrent leur épargne en stablecoins via la DeFi, avec un objectif de 15 à 25 % par an, sans trading, sans volatilité, en y consacrant quelques heures par trimestre.

Comment ça marche concrètement :

• Un portefeuille public de 100 000 $ géré en temps réel : toutes les décisions sont documentées et expliquées.
• Des opportunités DeFi analysées et auditées : vous suivez des guides vidéo étape par étape pour investir sur des protocoles sélectionnés pour leur robustesse.
• Une souveraineté totale sur vos fonds : vous restez maître de votre capital, aucune entité tierce n’a accès à votre wallet.

👉 Découvrir le Club 25%

L’affaire THORChain rappelle que la sécurité absolue n’existe pas en DeFi, mais qu’une sélection impitoyable reste la meilleure arme pour protéger ses capitaux.