Attaque THORChain – 7 M$ disparaissent, mais ses investisseurs « en profiteront »

16 juillet 2021 - 09:53

Temps de lecture : 4 minutes

Par Hugh B.

Faut-il voir les attaques des différents projets de l’univers des cryptomonnaies comme une fatalité ou comme un défi ? Une question qui se pose actuellement avec la récente exploitation d’une faille du réseau THORChain. Et qui remet une nouvelle fois sur le devant de la scène la fragilité de cet écosystème plus expérimental qu’autre chose. Car ce sont cette fois-ci 6 millions de dollars – selon la communauté – qui viennent de disparaître. Ou 25 millions de dollars, selon des sources plus proches du protocole THORChain. Ce dernier en train de tenter d’en récupérer tout ou partie auprès de l’attaquant. Et présentant cette opportunité comme l’occasion de rendre son réseau « plus fort et résilient ».

Le sentiment général n’est plus à la surprise, mais au constat amer. Car une nouvelle et énième attaque vient de frapper un projet de l’univers des cryptomonnaies. Ce qui ressemble encore une fois à une exploitation de ces failles bien plus lucrative que le trading lui-même. Blessures béantes d’où s’écoulent des millions de dollars, sous les yeux dorénavant résignés et hagards de développeurs impuissants. Et d’utilisateurs et liquidity providers (LP) en première ligne pour en assumer les pertes colossales.

Une triste actualité qui concerne cette fois-ci le projet THORChain (RUNE). Une passerelle entre différents réseaux qui en fait l’un des challengers appréciés de la course aux offres multichains. Mais dont le bridge dressé entre ces blockchains ressemble pour le moment à ces ponts de cordes suspendus au-dessus d’un vide insondable. Celui-ci représenté par la somme qui vient d’en être détournée. Et dont les estimations actuelles oscillent – à la (grosse) louche – entre 6 millions et 25 millions de dollars. Mais pas d’inquiétude à avoir car « malgré cet exploit, les nœuds, les LP et les arbers en profiteront considérablement ». Ok, donc tout va très bien…

Cours THORChain – RUNE

Un réseau THORChain à l’arrêt !?

L’attaque a été identifiée il y a tout juste quelques heures. Et la réaction des membres du projets THORCHain s’est tout de suite révélée très « rassurante ». Au point de se demander si cela devait être classé dans le cadre d’une stratégie volontairement apaisante. Ou si un manque de prise de conscience n’était pas tout simplement aux manettes face à cette crise interne. Car ce sont 13 000 ETH qui furent tout d’abord annoncés comme perdus dans une première publication sur Twitter. Ce qui représente à son cours actuel la somme de 25 millions de dollars.

Cela dans ce qui rapidement été présenté comme une exploitation de faille (exploit). Et dont la conséquence aussi surprenante qu’inattendue a été une mise à l’arrêt de son réseau pourtant décentralisé. Une option « stop » dont semblent se féliciter les développeurs du projet. Ces derniers y voyant une force et une réactivité interne et communautaire face à cette crise.

« Des problèmes comme celui-ci mettent en évidence la résilience des communautés décentralisées – Sans aucune intervention de l’administrateur / développeur, la communauté a identifié et arrêté THORChain en une heure. THORChain sortira plus fort après cette attaque. » – THORChain

Mais une situation qui soulève tout de même quelques questions essentielles quant à son fonctionnement et à son autonomie effective. Car (pouvoir) arrêter le fonctionnement d’un réseau semble bien surprenant, même dans ce genre de contexte. Une question ouverte, posée sans avoir pour le moment de réponse évidente sur le fait de savoir si cela est une bonne chose ou non. Ce qui oblige à se ranger derrière l’enthousiasme que cela semble déclencher chez THORChain.

C’est pas grave, on gère…

Surtout que très rapidement les estimations du butin dérobé ont été revues à la baisse. Et seulement quelques heures après l’attaque, ce montant a été divisé par plus de 3 pour ne plus représenter « que » 4000 ETH, dont une partie en jetons ERC20. Soit environ 7 millions de dollars tout de même. Mais du coup, avec un « ouf » de soulagement face à ce qui avait commencé par bien pire. L’occasion pour le projet THORChain d’entamer une tentative de récupération des fonds auprès de l’attaquant, prime de bug à la clé. Et d’exposer les conséquences effectives que cela devrait avoir sur les utilisateurs touchés par cette situation.

https://cryptoactu.com/soft-rug-nouvelle-arnaque-defi/

« À ce stade, l’estimation d’environ 4000 ETH d’actifs (ETH/ERC20) a été retenue, et non plus 13k ETH. Une évaluation plus détaillée et des étapes de récupération seront annoncées prochainement. Les utilisateurs qui ont souffert (LPs) seront guéris dans les semaines à venir. » – THORChain

Une guérison qui devrait vraisemblablement passer par un dédommagement tout droit issu du trésor de guerre du projet THORChain, qui « dispose des fonds nécessaires pour couvrir le montant volé ». Et une attaque que ses développeurs n’hésitent pas à présenter comme « fortement profitable » pour l’ensemble de la communauté. Cela du fait de la somme conséquente de 1,4 million de dollars que l’attaquant a dû régler en frais de transaction. Et du montant identique qui aurait également été réparti entre les liquidity providers en ERC20 « touchés » par ces mouvements de fonds. Cela si l’on exclut tout de même les liquidity providers en ETH qui devront attendre l’indemnisation promise.

Un plan de recouvrement a été annoncé. Et cela commence par un redémarrage du réseau qui n’est toujours pas effectif. Ainsi qu’une donation en ETH pour restituer les fonds perdus aux liquidity providers touchés par cette attaque. Le tout agrémenté d’un audit qui arrive peut-être un peu tard, mais qui semble de toute évidence nécessaire. Et avec l’assurance affichée par le projet THORChain que tout cela n’est pas grand-chose, puisqu’il s’engage à en assumer la facture…

Recevez le top 3 de l'actualité crypto chaque dimanche