THORChain est signalé comme une route clé utilisée par les hackers pour déplacer des fonds volés

Voici la chaîne où les hackers convertissent leurs gains ; c'est ainsi que les analystes résument THORChain. De nouvelles données reliant à nouveau le protocole ont relancé le débat. Dans un post, l'analyste a souligné que plusieurs exploits très médiatisés ont acheminé des fonds via THORChain. Malgré tous ces flux sortants, le protocole a continué à générer des frais. 

La liste des fonds exploités transitant par THORChain comprend l'exploiteur de FTX (124 millions de dollars), le hacker de Bybit (plus de 1,2 milliard de dollars) et l'exploiteur de Balancer (120 millions de dollars). Elle inclut également la récente attaque contre KelpDAO (175 millions de dollars en seulement 36 heures).

THORChain engrange des millions en frais

Les données montrent que THORChain aurait généré environ 910 000 dollars de frais rien que lors de l'incident KelpDAO. Ce montant dépasse le total du mois précédent, qui s'élevait à 709 000 dollars. Pendant ce temps, le protocole a maintenu une position de neutralité, même alors que des centaines de millions de dollars de fonds illicites transitent par ses rails.

Selon les données d'Arkham Intelligence, l'attaquant a réparti les fonds volés dans trois portefeuilles. Chacun détenait environ 25 000 ETH (soit approximativement 57 à 59 millions de dollars). Un seul de ces portefeuilles a activement commencé à blanchir les fonds. Son solde est passé de 25 000 ETH à environ 3 800 ETH.

Une bonne partie de ces fonds a déjà été convertie en Bitcoin via THORChain. Les données on-chain montrent que près de 99 % des fonds de ce portefeuille ont été déplacés. Cela s'ajoute à une hausse de l'utilisation du protocole. Le volume de swap sur THORChain aurait atteint 540 millions de dollars en 24 heures, permettant au protocole de générer environ 660 000 dollars de frais durant cette période.

Lookonchain a rapporté que le hacker de KelpDAO avait échangé la totalité des 75 701 ETH (d'une valeur approximative de 175 millions de dollars) via THORChain. Mantle a proposé de fournir 30 000 ETH (d'une valeur approximative de 70 millions de dollars) à Aave sous forme de prêt. Tandis que Lido annonce un don unique de 2 500 stETH (d'une valeur approximative de 5,8 millions de dollars).

L'approche des attaquants semble assez simple. THORChain permet des swaps cross-chain sans intermédiaires ni vérifications KYC. Cela permet aux actifs volés de se déplacer rapidement entre les écosystèmes, souvent d'Ethereum vers Bitcoin. C'est là que le traçage devient plus fragmenté en raison du modèle UTXO. Le prix de l'Ether a chuté de près de 3 % au cours des dernières 24 heures. ETH s'échange à 2 310 dollars au moment de la rédaction.

L'activité de blanchiment s'est accélérée après l'intervention de l'Arbitrum Security Council. Celui-ci a gelé 30 766 ETH (environ 71 millions de dollars) liés à l'exploit. Cette mesure a permis de restreindre l'accès à une partie des fonds, nécessitant des votes de gouvernance pour toute récupération.

THORChain défend sa neutralité

Le gel a peut-être également influencé la stratégie de l'attaquant. L'exploiteur a commencé à déplacer les fonds de manière plus agressive peu après. Cela met en évidence une tension persistante dans la DeFi entre intervention et décentralisation. Les actions au niveau du protocole peuvent limiter les dégâts, mais elles peuvent aussi pousser les attaquants vers des routes de blanchiment plus rapides et plus complexes.

Ce schéma n'est pas nouveau, car les attaquants laissent souvent les portefeuilles en sommeil pendant des mois avant de les réactiver. Le délai dans le déplacement des fonds leur permet de dépasser les efforts de suivi initiaux des enquêteurs.

THORChain, dans un post, a indiqué qu'il était modélisé sur Bitcoin. Cela lui permet d'être sans permission et résistant à la censure. Il a mentionné qu'aucune personne ni entité unique ne contrôle le protocole, et qu'il n'y a pas de clé admin. Il a ajouté qu'il n'y a pas de multisig 2-sur-3 et que 95 nœuds répartis dans le monde entier contrôlent le réseau.

Le protocole a déclaré que Bitcoin est neutre parce que le code est neutre, et que les nœuds l'appliquent. De même, THORChain est neutre parce que le code est neutre, et que les nœuds l'appliquent.

Le protocole a fait la une des actualités en raison de ses exploits à grande échelle et de ses liens avec des fonds. Cela remonte au piratage de Bybit en février 2025. Des attaquants liés au Lazarus Group ont volé environ 1,5 milliard de dollars d'actifs, dont plus de 400 000 ETH. Une grande partie de ces fonds a été blanchie via THORChain. 

On estime que plus de 70 % des actifs volés ont transité par le protocole. Cela a conduit les volumes quotidiens du protocole à dépasser 700 millions de dollars à cette époque. L'importante activité de blanchiment a généré plus de 3 millions à 5,5 millions de dollars de frais de transaction pour le protocole. Les attaquants ont été identifiés comme étant le Lazarus Group nord-coréen par le FBI.

Les esprits les plus brillants de la crypto lisent déjà notre newsletter. Envie de les rejoindre ? Rejoignez-les.