Le portefeuille personnel d'un cofondateur de THORChain aurait été piraté, entraînant une perte de plus de 1,2 million de dollars, selon tracde sécurité Peckshield. Le protocole a démenti les informations diffusées sur les réseaux sociaux selon lesquelles la faille aurait affecté l'ensemble de son réseau.
La plateforme de sécurité Web3 ExVul Defender a indiqué vendredi sur X que l'attaquant avait commencé à transférer des fonds il y a deux jours. Il aurait initialement obtenu des liquidités auprès d'un mixeur avant d'interagir avec le réseau THORChain, effectuant ses premières transactions mercredi à 6 h 41 min 47 s UTC.
Correction : Cet dent concerne l'exploitation du portefeuille personnel d'un utilisateur et n'est pas lié à @THORChain . 🙏 https://t.co/mACcL1WkPt
— THORChain (@THORChain) 12 septembre 2025
Sur Etherscan, l'adresse du portefeuille, en lien avec THORChain, a émis trois offres de prime dans les deux jours suivant le piratage, mais jusqu'à présent, l'attaquant n'a pas répondu.
ZachXBT : La victime est JP, cofondateur de THORChain.
En réponse à l'alerte X de PeckShield, l'expert en sécurité blockchain ZachXBT a dent la victime comme étant John-Paul Thorbjornsen, également connu sous le nom de JP, cofondateur de THORChain et de l'application portefeuille Vultisig.
Le portefeuille appartient probablement à @jpthor, dont le portefeuille privé a été compromis il y a quelques jours suite à une escroquerie à la fausse réunion.
JP fait partie des personnes qui ont grandement profité financièrement du blanchiment d'argent provenant de piratages/exploits de la RPDC.
C'est donc un peu poétique qu'il se soit fait laminer ici par la RPDC. pic.twitter.com/T57RRJ0bbf
– ZachXBT (@zachxbt) 12 septembre 2025
Selon ZachXBT, le portefeuille personnel de JP a été vidé d'environ 1,35 million de dollars lors d'une escroquerie par appel de réunion Telegram orchestrée par des pirates informatiques nord-coréens mardi.
JP et les plateformes qui lui sont liées ont déjà été associés à des gains financiers provenant d'activités de blanchiment liées à des piratages informatiques liés à la RPDC , notamment l'exploitation par Bybit de 1,5 milliard de dollars de Ethereum exécutée fin février.
« JP fait partie de ceux qui ont largement profité financièrement du blanchiment d'argent provenant des piratages et des exploits de la RPDC », a écrit ZachXBT. « C'est donc assez ironique qu'il se soit fait laminer par la RPDC. »
Les enregistrements de la blockchain datés du 9 septembre révèlent une série de mouvements de fonds depuis l'adresse volée, ce qui pourrait constituer une tentative de dissimulation des transactions. Le premier transfert concernait 6 233 015 jetons THORChain, sortis du portefeuille compromis trois jours auparavant.
Presque immédiatement après, une autre transaction a placé 6 233 180 jetons dans une adresse signalée comme « Fake_Phishing1347722 », une étiquette associée au blanchiment et à l'obfuscation liée à l'hameçonnage.
Toujours dans la journée, l'attaquant a transféré 6 333 180 jetons via THORChain, suivis de 6 333 333 autres jetons, effectuant probablement des transferts importants vers différentes adresses, parallèlement à un paiement plus modeste de 1 250 000 jetons.
La plus grande partie des fonds volés, soit 2 778 345 jetons, a finalement atterri sur le protocole Kyber, probablement échangés pour créer des niveaux de séparation avec la source originale.
Actuellement, la majorité des fonds volés, d'une valeur de 1,218 million de dollars, se trouvent à l'adresse 0x7abc09ab94d6015053f8f41b01614bb6d1cc7647 , a déclaré ZachXBT sur sa chaîne Telegram d'enquêtes.
THORChain a-t-il profité du blanchiment d'argent suite au piratage de Bybit ?
Les données d'Arkham Intelligence montrent que les pirates à l'origine de l'attaque contre Bybit ont transféré au moins 209 384 ETH, soit environ 480 millions de dollars, vers Bitcoin. Cela représente plus de 50 % des 400 000 ETH estimés volés à la plateforme.
Des chercheurs spécialisés dans la blockchain tracprès de 1,2 milliard de dollars de cryptomonnaies illicites, soit environ 85 % des fonds perdus lors du piratage de Bybit, transitant par THORChain. Dans les premiers jours suivant l'dent, au moins 240 millions de dollars provenant du piratage de Bybit ont été blanchis via THORChain et convertis en Bitcoin, selon Arkham.
Certains concurrents ont collaboré avec les autorités pour limiter les transactions suspectes, mais les opérateurs de THORChain n'ont pratiquement rien fait pour bloquer les adresses, malgré les demandes officielles du FBI et d'autres agences. Les applications de portefeuille développées sur le réseau, notamment Asgardex et Vultisig, ont continué à fonctionner sans interruption.
Des entreprises spécialisées dans la sécurité de la blockchain ont suggéré que les validateurs et les développeurs de portefeuilles du réseau, dont beaucoup sont publiquementdentet opèrent dans des juridictions ayant des exigences strictes en matière de lutte contre le blanchiment d'argent, ont réclamé des honoraires de plus de 12 millions de dollars pour le blanchiment des fonds.
« Le protocole continue de fonctionner et d'effectuer des échanges malgré le chaos. Il fonctionne à merveille, en réalité », a déclaré Thorbjornsen, censément pour défendre son fonctionnement. À ce moment-là, THORChain a enregistré son record absolu de transactions en une seule journée, avec plus de 737 millions de dollars de jetons échangés sur le réseau.
