V12 déclare que THORChain a corrigé silencieusement son bug critique, puis a déclaré aux chercheurs que le Bounty était « définitivement retiré »
Une startup de sécurité a déclaré qu'elle avait l'intention de publier publiquement le code d'exploitation pour les vulnérabilités THORChain non corrigées dans les prochains jours, après que le protocole inter-chaînes a corrigé un bug critique antérieur que la société avait divulgué sans le créditer ni le payer.
V12, une startup qui construit un outil automatisé d'audit de code et a récemment publié des exploits du noyau Linux, a déclaré dans un article sur X qu'elle avait signalé un bogue de « perte critique de fonds » à THORChain, que le protocole « l'avait corrigé en silence » et qu'un représentant de THORChain avait déclaré à l'entreprise que son programme de prime aux bogues était définitivement retiré. V12 a déclaré qu'il détenait d'autres vulnérabilités de déni de service « arrêt en chaîne » de THORChain qu'il prévoyait de divulguer ouvertement, et il a publié un référentiel de code de preuve de concept.
Bug de contrefaçon de proposant
La divulgation arrive environ trois semaines après que THORChain, un protocole de liquidité inter-chaînes avec une valeur totale verrouillée d'environ 30 millions de dollars, a perdu environ 10,7 millions de dollars dans l'un de ses six coffres-forts Asgard le 15 mai. Des chercheurs en sécurité, dont Blockaid et l'enquêteur onchain ZachXBT, ont attribué cet exploit à un bug de contrefaçon de proposant dans le système d'attestation Bifrost de THORChain – la même classe de failles qu'un code THORChain a été écrit pour corriger.
Ce correctif, intitulé « Signer le wrapper ObservedTx complet pour empêcher la falsification du proposant » n'a jamais été déployé ; les chercheurs ont déclaré que le processus de test et de déploiement automatisé du protocole avait échoué avant l'attaque. RUNE a chuté jusqu'à 15 % le jour de l'exploit et se négocie désormais à près de 0,49 $, en baisse d'environ 87 % au cours de l'année écoulée, selon les données de DefiLlama et CoinGecko.
THORChain a été piraté à plusieurs reprises depuis 2021 et a traité l’essentiel du blanchiment dans le cadre du piratage Bybit de 1,4 milliard de dollars.
Ce que V12 dit avoir trouvé
V12 a déclaré avoir contacté THORChain le 28 avril pour « divulguer de manière responsable » ce qu'il a appelé une vulnérabilité critique probable, en partageant un fichier de correctif, un script de preuve de concept et un rapport, selon les captures d'écran du message publiées par la société.
Dans ces messages, V12 décrivait une faille dans laquelle un seul validateur malveillant agissant en tant que proposant du bloc CometBFT peut « contourner toutes les exigences de confirmation » en falsifiant des données de finalité non signées sur des transactions honnêtement attestées, obligeant THORChain à libérer des fonds sortants avant qu'un dépôt source ne soit confirmé. La société a déclaré que le problème affectait toutes les chaînes externes intégrées à THORChain et était exploitable par tout validateur actif au cours de sa rotation normale des proposants.
Lorsque V12 a fait le suivi d'un paiement, un contact de THORChain a répondu qu'il n'était "pas au courant d'une prime de bug en cours par THORChain" et a déclaré que l'équipe avait arrêté le programme "il y a longtemps", selon les captures d'écran. La V12 a ensuite demandé s'il n'y avait pas de paiement, même pour les bugs critiques.
L'identité du contact a été masquée sur les images. Le récit de V12 repose sur des messages qu'il a lui-même publiés, présentant une facette de l'échange ; THORChain n'a pas confirmé leur authenticité ni l'existence du bug divulgué.
Un patch jamais livré
Les développeurs de THORChain ont rédigé un correctif pour un bug de contrefaçon de proposant le 6 mai, neuf jours avant l'exploit du 15 mai, selon l'historique des validations de THORNode. L'analyse de l'attaque réalisée par Blockaid a révélé que les signatures des validateurs ne couvraient pas le champ entrant ou sortant d'une transaction, permettant ainsi à un proposant de transformer une véritable observation entrante en un paiement sortant vers des adresses contrôlées par l'attaquant. Les chercheurs ont déclaré que le correctif du 6 mai corrigeait exactement ce comportement, mais avait échoué dans le processus d'intégration continue du protocole et n'avait pas été déployé à temps auprès des validateurs.
Le bug V12, révélé le 28 avril, est décrit dans des termes presque identiques à la fois au correctif et à la faille que les chercheurs ont imputée à l'exploit.
THORChain n'a pas publié d'analyse post-mortem complète ni confirmé que le bug divulgué et le bug exploité sont identiques, et V12 n'a pas explicitement affirmé dans son message que l'attaquant du 15 mai avait utilisé ses découvertes. Blockaid et ZachXBT ont déclaré qu'ils pensaient que l'attaquant du 15 mai était le même acteur derrière l'attaque 1inch Fusion V1 de mars 2025.
Les défenses automatisées de THORChain ont contenu l'incident du 15 mai : les opérateurs de nœuds ont déclenché un arrêt à l'échelle du réseau, gelant les échanges, les signatures et le taux de désabonnement des validateurs pendant environ 13 heures, et l'équipe a déclaré qu'aucun échange d'utilisateur individuel n'était affecté. Le protocole a révélé la perte via Discord et X, comme indiqué dans le rapport de The Defiant sur la compromission du coffre-fort Asgard.
Le lien entre le rapport de V12 et l'exploit du 15 mai, bien que cohérent dans la description de l'entreprise, la validation du correctif et l'analyse médico-légale tierce, n'a pas été confirmé par THORChain ni déclaré d'emblée par V12.
Un programme de primes en retraite
THORChain a lancé une prime de bug de 500 000 $ sur Immunefi en 2021 après une série d'exploits. Il a ensuite quitté cette plate-forme au milieu d'une controverse, pour passer à un programme auto-hébergé qui, selon les chercheurs, a été retiré en mars 2026, deux mois avant l'exploit de mai. En novembre 2024, le chercheur Luke Parker a publiquement accusé le protocole d'avoir retiré son programme Immunefi après la plateforme.