THORChain fait face à une importante crise de sécurité après que la startup d’audit de code automatisé V12 ait menacé de publier publiquement un code d’exploitation pour plusieurs vulnérabilités non corrigées. Cet ultimatum fait suite à un différend houleux au sujet d’un bug critique précédemment divulgué, que V12 affirme avoir été corrigé discrètement par THORChain sans reconnaissance ni compensation financière.
Selon V12, la startup a indiqué de bonne foi une vulnérabilité à haute gravité à l’équipe de sécurité de THORChain. Au lieu de passer par les canaux habituels de programme de récompense, THORChain aurait appliqué un correctif silencieux pour régler le problème. Lorsque V12 a demandé la prime, l’équipe du protocole leur a répondu que le programme avait été « définitivement retiré », les laissant sans récompense.
Ce différend illustre les tensions croissantes entre les chercheurs en sécurité indépendants et les protocoles décentralisés quant au versement des récompenses. Pour THORChain, un protocole de liquidité cross-chain qui permet des échanges natifs d’actifs entre différentes blockchains, la sécurité est cruciale. Le protocole a historiquement été la cible de failles exploitables à plusieurs millions de dollars, ce qui fait de toute vulnérabilité non corrigée un risque majeur pour les fournisseurs de liquidité.
La décision de V12 de publier un code d’exploitation pour d’autres failles non corrigées augmente le risque immédiat d’attaques zero-day. Si la startup tient sa menace, des acteurs malveillants pourraient utiliser ce code public pour vider les pools de liquidité avant que les développeurs ne déploient des correctifs. Ce risque pèse déjà sur le sentiment du marché, les traders surveillant attentivement le token natif RUNE et les actifs THOR associés, à la recherche de signes de fuite de capitaux.
Historiquement, les protocoles de ponts et cross-chain subissent de sévères contractions de liquidité lorsque des conflits de sécurité deviennent publics. Les fournisseurs de liquidité retirent généralement leurs actifs en priorité pour éviter d’être victimes d’une exploitation.
Les acteurs du marché doivent suivre attentivement les canaux officiels de développement de THORChain ainsi que les flux de liquidité on-chain dans les prochaines 48 heures. L’indicateur clé à surveiller est le Total Value Locked (TVL) de THORChain. Toute baisse soudaine du TVL indiquera que les fournisseurs de liquidité réduisent activement leurs risques en attendant la révélation annoncée par V12.
THORChain confronté à des révélations d’exploits après un différend sur un correctif silencieux
THORChain a corrigé une faille critique indiquée par V12 sans reconnaissance ni paiement. V12 prévoit de publier bientôt un code d’exploitation pour des vulnérabilités non corrigées.