Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 047Exploit de pont

Double exploit Bifrost THORChain

13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.

Date
Victime
THORChain
Chaîne(s)
EthereumBitcoinBNB Chain
Statut
Partiellement récupéré

En juillet 2021, THORChain — le protocole de liquidité cross-chain alors en phase de lancement « Chaosnet » — a été exploité deux fois en une semaine pour une perte combinée d'environ 13 millions de dollars. Les deux incidents exploitaient la même classe de vulnérabilité dans son module de pont Ethereum Bifrost.

Ce qui s'est passé

Le module Bifrost de THORChain était responsable d'observer les dépôts sur les chaînes externes (ETH, BTC, BNB, etc.) et de créditer le déposant sur THORChain. Le module contenait une boucle de surcharge destinée aux scénarios de migration de transfert de coffre — jamais censée être invoquée dans des conditions normales côté utilisateur.

Attaque 1 — 16 juillet (~5 M$)

L'attaquant a enveloppé le contrat routeur Ethereum de THORChain avec son propre contrat, utilisé la boucle de surcharge pour manipuler le msg.value rapporté à Bifrost, et déclenché le module pour enregistrer un dépôt de 200 ETH alors que zéro ETH avait réellement été envoyé. Ils ont ensuite retiré le crédit synthétique comme de l'ETH réel depuis les pools de THORChain.

Les estimations de perte initiales montaient jusqu'à 24 M$ (13 000 ETH) avant d'être progressivement révisées à la baisse à environ 4,9 M$ après que la comptabilité on-chain a reconstruit la valeur extraite réelle.

Attaque 2 — 23 juillet (~8 M$)

Un attaquant séparé — probablement un opérateur indépendant qui avait rétro-ingénieré le premier exploit — a utilisé une variante différente du même pattern de faux dépôt sur Bifrost. Cette fois, le protocole a attrapé l'exploit plus rapidement et a limité la perte à environ 8 M$ avant de mettre en pause.

Conséquences

  • THORChain a mis en pause Chaosnet et livré des patches Bifrost.
  • L'équipe a offert aux deux attaquants des primes white-hat de 10 % pour le retour des fonds. Le premier attaquant a accepté et retourné le gros de la perte ; le second a retourné un montant partiel.
  • Le protocole a révisé ses plafonds de trading, ralenti son déploiement Chaosnet, et est ressorti en 2022 comme un système significativement plus conservateur.

Pourquoi c'est important

Les incidents jumeaux de juillet de THORChain ont renforcé une leçon récurrente sur l'observation de messages cross-chain : la vue d'un pont sur l'état d'une chaîne externe n'est aussi digne de confiance que le code qui construit cette vue. Toute fonction du module observateur qui peut être manipulée par un déposant — même les chemins de debug, boucles de surcharge ou helpers de migration — peut produire de faux crédits que le reste du protocole traite comme des fonds réels. Le même pattern s'est joué à une bien plus grande échelle dans Nomad (2022) et Qubit Finance (2022).

THORChain est également l'un d'un petit ensemble de protocoles de taille moyenne où les deux attaquants ont retourné une part substantielle de la perte — fonction de la petite équipe identifiable du protocole, sa présence communautaire active, et la claire visibilité on-chain de chaque tentative de blanchiment.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-thorchain-hack-july-2021
  2. [02]slowmist.medium.comhttps://slowmist.medium.com/slowmist-analysis-of-three-consecutive-attacks-on-thorchain-6223f1c691be
  3. [03]coindesk.comhttps://www.coindesk.com/markets/2021/07/23/blockchain-protocol-thorchain-suffers-8m-hack

Dépôts liés