THORChain reprend ses échanges cinq semaines après un hack à 10,7 millions de dollars

Ce qu’il faut retenir :

• THORChain a rouvert ses échanges ce mardi, après plus de cinq semaines à l’arrêt à la suite d’un piratage.
• L’attaque du 15 mai avait drainé environ 10,7 millions de dollars depuis l’un des coffres Asgard du protocole.
• Les pertes ont été absorbées par la liquidité du protocole, sans création ni vente de nouveaux tokens RUNE.

THORChain a rétabli ses échanges ce mardi, plus de cinq semaines après les avoir suspendus. Le protocole d’échange cross-chain a annoncé sur X que la signature, le churn, les actions des fournisseurs de liquidité et les swaps étaient de nouveau actifs. En toile de fond, un piratage qui avait siphonné 10,7 millions de dollars à la mi-mai. Le token RUNE est resté quasi stable après la reprise.

THORChain se présente comme la principale plateforme décentralisée d’échange de Bitcoin (BTC). Sa promesse : échanger des actifs natifs d’une blockchain à l’autre, sans passer par un token “wrappé” ni par un pont centralisé.

Ce qui rouvre, et la suite

La reprise s’est faite par étapes, la sécurité passant avant la vitesse, selon le protocole. Chaque coffre a été vérifié et chaque part de clé contrôlée avant le redémarrage. Les opérateurs de nœuds, les développeurs et l’équipe de Maya Protocol ont été remerciés pour avoir maintenu le réseau stable.

THORChain enchaîne déjà sur sa feuille de route. Les swaps natifs de Monero (XMR) fonctionnent de bout en bout en phase de test, avec un lancement imminent. Le support de Zcash (ZEC) suivra, accompagné de frais dynamiques et d’améliorations de la liquidité.

Comment THORChain a-t-il été piraté ?

L’attaque remonte au 15 mai. L’enquêteur on-chain ZachXBT et la société de sécurité PeckShield avaient repéré des sorties anormales sur Bitcoin, Ethereum (ETH), BNB Chain et Base. THORChain avait alors gelé l’ensemble du réseau.

Selon le rapport du protocole, le coupable était un opérateur de nœud malveillant, entré dans le réseau deux jours plus tôt. Il a exploité une faille du schéma de signature à seuil GG20 (threshold signature scheme), le système qui permet à plusieurs nœuds de cosigner une transaction sans qu’aucun ne détienne la clé privée complète. En récupérant peu à peu des fragments de clé, l’attaquant a pu reconstituer une signature valide et vider l’un des coffres Asgard. Les autres coffres n’ont pas été touchés.

Les systèmes de détection automatique ont coupé la signature en quelques minutes, avant que les opérateurs ne verrouillent tout le réseau en deux heures environ. Le nœud à l’origine de l’attaque, qui avait déposé environ 635 000 RUNE en garantie, a vu l’intégralité de cette somme confisquée (slashing).

Une reprise sans diluer les détenteurs de RUNE

Pour combler le trou, THORChain a choisi de ne pas créer ni vendre de nouveaux RUNE. Via le plan de gouvernance ADR-028, adopté par les nœuds fin mai, les pertes ont été épongées par la liquidité détenue par le protocole (Protocol-Owned Liquidity). Les détenteurs de RUNE échappent ainsi à une dilution directe, même si la profondeur des pools peut s’en trouver réduite à court terme. La mise à jour technique embarque aussi un mécanisme capable d’isoler un coffre compromis du reste du réseau.

Le marché a réagi avec sang-froid : RUNE est resté stable après la réouverture, alors qu’il avait perdu près de 15 % dans les minutes ayant suivi l’attaque du 15 mai.

Ce qu’il faut surveiller

Le chantier de fond n’est pas terminé. THORChain prévoit de migrer de GG20 vers DKLS, un schéma de signature plus moderne, un travail confié à la société Silence Labs. Le protocole traîne par ailleurs une réputation encombrante : ses swaps cross-chain ont servi à blanchir une partie des fonds du piratage de Bybit en 2025 et de l’attaque contre KelpDAO début 2026, ce qui lui vaut une attention soutenue des régulateurs. La reprise des échanges fait figure de test : reste à voir si la liquidité et la confiance reviennent à leur niveau d’avant la coupure.