Le redémarrage de THORChain s'éternise alors que l...

THORChain est resté hors ligne pendant trois semaines depuis qu'il a subi un exploit de coffre-fort de 10,7 millions de dollars.

THORChain avait initialement prévu d'intégrer le support $ZEC dans sa plate-forme, mais même cela a été retardé après la découverte d'une faille critique dans le pool protégé Orchard de Zcash. Cette décision n'aurait pas pu arriver à un pire moment pour $ZEC, qui a été battu depuis la révélation de la vulnérabilité découverte par l'IA.

Qu’est-il arrivé à THORChain et quand va-t-il redémarrer ?

THORChain est hors ligne depuis trois semaines à la suite d'une faille de sécurité majeure qui a entraîné la perte de 10,7 millions de dollars dans l'un de ses coffres-forts.

Le problème chez THORChain a commencé par une faille dans un système de sécurité appelé système de signature de seuil GG20. Un attaquant a pu rejoindre le réseau en tant qu'opérateur de nœud et exploiter cette faiblesse pour drainer les fonds d'un seul coffre-fort. Les quatre autres coffres-forts n'ont pas été affectés.

Les développeurs de THORChain ont publié un correctif (version 3.19) il y a plusieurs jours, mais le réseau n'a pas encore repris ses opérations normales.

L'équipe a même ajouté une nouvelle étape de sécurité appelée « vérification des clés » pour garantir que chaque coffre-fort restant est sécurisé avant la reprise des opérations. Le processus de redémarrage comprendra le passage des opérateurs de nœuds à la nouvelle version du logiciel, la migration des fonds et enfin la réouverture des échanges. Barraford estime que ce processus prendra plusieurs jours une fois qu’il aura commencé.

Le plan de redressement, appelé ADR028, vise à couvrir la perte de 10,7 millions de dollars sans créer de nouveaux jetons RUNE ni diluer les détenteurs existants. Au lieu de cela, l’argent propre du protocole sera utilisé et toute perte restante sera partagée avec les détenteurs d’actifs synthétiques. Le protocole offre également au pirate informatique une prime pour restituer les fonds.

Qu’est-ce que le bug de Zcash et pourquoi a-t-il provoqué une si forte baisse de prix ?

Zcash était censé être la prochaine intégration de chaîne de THORChain, avant Monero, mais ce calendrier a été dépassé après que le chercheur en sécurité Taylor Hornby, travaillant sous contrat avec Shielded Labs, a découvert un bug de solidité dans le pool protégé Orchard de Zcash.

Le bug est présent dans le « livre de règles » du protocole Orchard depuis son lancement en mai 2022. Hornby a utilisé le modèle Opus 4.8 d’Anthropic pour créer un exemple fonctionnel de l’exploit dans un environnement de test et a confirmé qu’il pouvait produire de faux jetons dans un environnement de test local.

Un soft fork d'urgence a rapidement désactivé temporairement les transactions Orchard le 2 juin, et un hard fork (NU6.2) a réactivé le pool avec un circuit corrigé le 3 juin. Le délai de cinq jours entre la découverte et la résolution n'était que la deuxième mise à niveau du protocole axée sur la sécurité en dix ans d'histoire de Zcash.

Lorsque le bug a été révélé, le $ZEC a chuté d'environ 40 % en 24 heures. Les données de CoinMarketCap ont montré que le jeton s'échangeait à près de 333 $, en baisse par rapport à un sommet de 52 semaines supérieur à 700 $.

Arthur Hayes, directeur des investissements chez Maelstrom et co-fondateur de BitMEX, a déclaré sur X qu'il avait liquidé l'intégralité de sa position $ZEC. Hayes avait précédemment fixé un objectif de prix public de 10 % de la valeur du Bitcoin pour $ZEC, mais la baisse de 30 % l'a obligé à repenser.

Il a laissé ouverte la possibilité de racheter les jetons si ses inquiétudes concernant l'intégrité de l'approvisionnement s'avéraient infondées.

La société de renseignement Blockchain Arkham a signalé au moins un grand détenteur qui a vu plus de la moitié de la valeur d'une position ZEC de 174 millions de dollars s'évaporer sans vendre.

Shielded Labs, l'organisation qui a corrigé le bug, a expliqué qu'il est cryptographiquement impossible de déterminer si le bug a déjà été utilisé ou non en raison de la fenêtre de quatre ans avant sa découverte, mais la société a également déclaré qu'il est peu probable que le bug aurait pu échapper à des années d'examen par des experts s'il était actif.

La simple découverte de la vulnérabilité nécessitait des techniques d’audit assistées par l’IA, et la fenêtre de correction était étroite une fois la faille connue.