Une faille de sécurité a drainé 10 millions de dollars répartis sur 12 847 portefeuilles et quatre chaînes. L’équipe du protocole déploie un mécanisme d’indemnisation auto-hébergé où les victimes révoquent elles-mêmes les approbations compromises. La fondation provisionne une enveloppe équivalente à l’ampleur du préjudice.
Points clés – 10 M$ drainés sur quatre chaînes — Bitcoin, BNB Chain, Ethereum et Base — 12 847 portefeuilles affectés selon les données publiées par THORChain. – Portail de récupération déployé par la THORChain Foundation, fonds remboursés par un pool de trésorerie d’un montant équivalent à l’exploit. – 36,75 BTC (environ 3 M$) et 7 M$ en tokens dérobés via des approbations de tokens compromises.
L’attaque en bref
THORChain confirme ce samedi 16 mai 2026 une faille de sécurité de 10 millions de dollars sur son protocole de swap cross-chain (échange direct entre blockchains différentes). L’équipe a déployé un portail de récupération permettant aux utilisateurs concernés de vérifier le montant de leur compensation. Selon Cointelegraph, 12 847 portefeuilles sont touchés sur quatre blockchains : BNB Chain, Ethereum, Base et Bitcoin. La THORChain Foundation provisionne un pool de remboursement d’un montant équivalent à celui du vol, financé par sa trésorerie.
Contexte : un protocole déjà éprouvé
THORChain est un protocole décentralisé qui permet d’échanger des actifs natifs entre blockchains sans recourir à des tokens wrappés. Lancé en 2021, il s’est imposé comme l’une des principales infrastructures de liquidité multi-chaînes du secteur. La plateforme avait déjà subi plusieurs incidents en 2021, notamment deux exploits successifs ayant entraîné une perte cumulée supérieure à 13 millions de dollars selon les rapports publics de l’époque.
L’attaque de mai 2026 ramène la pression sécuritaire sur les ponts cross-chain, segment qui concentre historiquement les exploits les plus coûteux du secteur DeFi (finance décentralisée). Les approbations de tokens — autorisations accordées à un smart contract (programme auto-exécuté sur blockchain) pour dépenser les fonds d’un utilisateur — restent un vecteur d’attaque privilégié sur les chaînes compatibles EVM (Ethereum Virtual Machine). La rapidité de la réponse de la fondation, qui mobilise une enveloppe de remboursement équivalente, contraste avec la lenteur observée dans plusieurs incidents comparables récents.
Le détail des fonds dérobés et du portail
Les attaquants ont drainé 36,75 BTC, soit environ 3 millions de dollars, ainsi que près de 7 millions de dollars en tokens divers déployés sur trois chaînes : BNB Chain, Ethereum et Base. Le profil des fonds combine donc des actifs natifs Bitcoin et un panier de tokens ERC-20 (standard de tokens fongibles Ethereum), multipliant les surfaces d’analyse forensique.
Le portail de récupération, opérationnel depuis l’annonce, fonctionne en mode auto-hébergé : les utilisateurs conservent la garde de leurs clés et exécutent eux-mêmes les transactions. Le flux comprend deux étapes : retirer les approbations malicieuses encore actives sur les contrats compromis, puis soumettre une demande de remboursement. « Affected users are now able to check what they will be paid as compensation following the exploit », indique l’annonce officielle relayée par Cointelegraph.
La THORChain Foundation finance le pool de remboursement à hauteur de l’exploit, soit 10 millions de dollars puisés dans la trésorerie du protocole. Aucune adresse d’attaquant publique n’a été communiquée à ce jour. La fenêtre de soumission des réclamations s’étale sur 21 jours suivant le lancement du portail.
Ce que ça change pour les utilisateurs DeFi
L’incident remet en lumière l’exposition structurelle des protocoles cross-chain aux exploits liés aux approbations de tokens. La capacité de la THORChain Foundation à mobiliser une réserve équivalente au montant volé constitue un signal sur la santé de la trésorerie du projet. Ce type de remboursement intégral reste minoritaire dans le secteur : sur les précédents Wormhole et Ronin en 2022, les fonds avaient été apportés par des bailleurs externes. Pour les utilisateurs concernés, la priorité opérationnelle reste la révocation immédiate des approbations, indépendamment de la procédure de compensation.
FAQ
Comment l’exploit THORChain a-t-il été détecté ?
La faille a été identifiée à partir de transactions sortantes anormales sur les vaults du protocole. Les opérateurs de nœuds ont signalé les flux suspects, déclenchant l’arrêt temporaire de certaines fonctions de swap avant l’annonce officielle de la fondation.
Comment récupérer ses fonds après l’exploit ?
Les utilisateurs concernés se connectent au portail de récupération de THORChain avec leur wallet, révoquent les approbations compromises puis soumettent leur demande de remboursement. La fenêtre de réclamation est limitée à 21 jours suivant l’ouverture du portail.
À suivre
La date butoir des réclamations se profile autour du 4 juin 2026. La publication par THORChain d’un post-mortem technique détaillé, attendue dans les prochaines semaines, conditionnera la lecture par le marché de la résilience du protocole. Voir aussi notre suivi des exploits DeFi 2026.
