Trois exploits en cinq jours. 23 millions de dollars volatilisés. THORChain le 15 mai, Verus Bridge le 18, Echo Protocol le 19. Le mois n'est pas encore terminé.
Rapport d'incident de sécurité
- Protocole THORChain
- Montant dérobé $10.800.000
- Chaînes BTC · ETH · BNB · Base
- Date 15 mai 2026, 09:45 UTC
- RUNE -15% en quelques minutes
- Vecteur Vulnérabilité dans le GG20 TSS. Un nœud malveillant a extrait des fragments de clé cryptographique lors des cérémonies de signature, reconstituant progressivement la clé privée complète d'un vault Asgard et signant des transactions non autorisées.
- Réponse du protocole Commande «make pause» au bloc 26190429. Trading, swaps, actions LP et signature suspendus. Fonds utilisateurs non compromis. THORSec, Chainalysis et forces de l'ordre impliqués.
Source: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15-16 mai 2026
Source: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15-16 mai 2026
Le 15 mai à 09:45 UTC, ZachXBT publie une alerte sur Telegram: des flux anormaux s'échappent des vaults Asgard de THORChain, le principal DEX cross-chain. Estimation initiale selon TRM Labs: 7,4 millions de dollars. Tout s'arrête. Deux heures plus tard, le montant atteignait 10,8 millions de dollars, l'attaque avait simultanément frappé Bitcoin, Ethereum, BNB Chain et Base, et le token natif RUNE avait chuté de 15%, passant de 0,58 à environ 0,50 dollar en quelques minutes. Le mécanisme de pause automatique a fonctionné, limitant les dégâts à un seul des six vaults Asgard actifs. Les fonds des utilisateurs: préservés.
Le vecteur est sophistiqué. Un validateur avait opéré honnêtement pendant plusieurs jours, accumulant des fragments de matériel cryptographique lors des cérémonies de signature normales du protocole GG20 TSS. Avec suffisamment de fragments collectés dans le temps, il a reconstitué la clé privée complète d'un vault Asgard, signant des transactions sortantes comme s'il bénéficiait du consensus global du réseau. Le nœud malveillant, identifié comme thor16ucjv3v695mq283me7esh0wdhajjalengcn84q, avait intégré l'ensemble actif quelques jours seulement avant l'attaque. Une planification millimétrée.
Chainalysis a retracé des semaines de préparation: opérations sur Monero, Hyperliquid et Arbitrum, conclues par un transfert de 8 ETH vers le wallet d'attaque exactement 43 minutes avant le drainage. Une signature déjà connue: le bridge Kelp DAO avait été vidé pour 292 millions de dollars en avril avec des mois de préparation identique. THORChain, ironie du sort, avait servi de rail de blanchiment dans cette opération: selon Chainalysis, le groupe Lazarus avait déplacé environ 175 millions de dollars en ETH volé via le protocole en 36 heures. La crise Aave post-Kelp ne s'était clôturée que le 18 mai, le même jour que la deuxième attaque de cette semaine.
Rapport d'incident de sécurité
- Protocole Verus-Ethereum Bridge
- Montant dérobé $11.580.000
- Actifs drainés 103,6 tBTC · 1.625 ETH · 147K USDC
- Date 18 mai 2026
- Wallet attaquant 0x65Cb…C25F9
- Vecteur Vecteur technique en cours d'analyse au 19 mai 2026. Le wallet avait été pré-financé avec 1 ETH via Tornado Cash environ 14 heures avant l'attaque. Les fonds ont été convertis en 5.402,4 ETH et restent dans le wallet.
- Réponse du protocole Signalement en temps réel par Blockaid. Aucun communiqué technique complet de l'équipe Verus au moment de la publication.
Source: Blockaid, PeckShield · 18 mai 2026
Source: Blockaid, PeckShield · 18 mai 2026
Trois jours après THORChain. Sans pause. Blockaid signale l'exploit sur le Verus-Ethereum Bridge alors qu'il est encore en cours: l'attaquant avait déjà drainé 103,6 tBTC, 1.625 ETH et 147.000 USDC avant que quiconque puisse intervenir, convertissant le tout en 5.402,4 ETH. Le wallet de destination, 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9, était encore actif au 19 mai. Le pré-financement via Tornado Cash 14 heures avant ne laisse aucun doute: opération planifiée, non opportuniste. Un schéma déjà documenté avec Drift Protocol en avril, où les wallets d'attaque avaient été préparés des semaines à l'avance avec les mêmes outils. Le vecteur technique précis de Verus reste en cours d'analyse.
Rapport d'incident de sécurité
- Protocole Echo Protocol (Monad)
- Montant dérobé (effectif) $816.000
- eBTC frappés (nominal) 1.000 eBTC ($76,7M)
- Date 18-19 mai 2026, 22:55 UTC
- ETH vers Tornado Cash 384 ETH ($821.700)
- Vecteur Clé admin compromise: EOA unique sans multisig, sans timelock, sans limite d'émission. L'attaquant a frappé 1.000 eBTC, utilisé 45 comme collatéral sur Curvance, emprunté 11,29 WBTC et envoyé 384 ETH vers Tornado Cash.
- Réponse du protocole Echo récupère les clés admin et brûle les 955 eBTC restants. Opérations cross-chain suspendues. Curvance met en pause le marché eBTC. Keone Hon, co-fondateur de Monad, confirme que le réseau n'est pas compromis.
Source: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD) · 18-19 mai 2026
Source: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD sur X) · 18-19 mai 2026
Le soir du 18 mai, l'analyste on-chain dcfgod publie un post sur X. Quelqu'un vient de frapper 1.000 eBTC sur Echo Protocol, déployé sur Monad, de toutes pièces. Valeur nominale: 76,7 millions de dollars. Préjudice réel: 816.000 dollars. L'écart entre les deux chiffres dit tout: l'attaquant disposait de clés admin aux pouvoirs d'émission illimités, sans protection multisig et sans timelock. Il a utilisé 45 eBTC comme collatéral sur Curvance, retiré 11,29 WBTC, transféré les fonds sur Ethereum et envoyé 384 ETH vers Tornado Cash. Le tout en quelques heures. Les 955 eBTC restants étaient inutilisables dans le wallet de l'attaquant: aucune liquidité sur le réseau Monad ne suffisait à les convertir en valeur réelle. Echo les a brûlés. Keone Hon, co-fondateur de Monad, a confirmé dans un post sur X que le réseau lui-même n'avait pas été touché.
Yu Xian, fondateur de SlowMist, a mis le doigt sur le problème: un point de contrôle unique avec des pouvoirs d'émission absolus constitue une vulnérabilité par conception, non une erreur isolée. Le schéma est identique à des dizaines d'exploits précédents sur des bridges cross-chain. Pour comprendre comment des architectures similaires ouvrent des failles dans le secteur de l'IA crypto, notre analyse sur les routeurs LLM et la sécurité des wallets décrit le même mécanisme sur un vecteur différent.
Données clés
- THORChain, fonds drainés (15 mai) $10.800.000
- Verus Bridge, fonds drainés (18 mai) $11.580.000
- Echo Protocol, préjudice effectif (19 mai) $816.000
- Echo Protocol, eBTC frappés (nominal) $76.700.000 (non liquidables)
- Total effectif 3 exploits (5 jours) $23.196.000
- Exploits DeFi totaux en mai 2026 14 (source: DefiLlama)
Source: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15-19 mai 2026
Source: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15-19 mai 2026
Comment les hackers volent-ils des crypto sur les bridges DeFi?
Les trois attaques de cette semaine présentent des vecteurs techniques distincts, mais partagent une même structure. Le bridge est le point d'entrée, non pas parce qu'il serait nécessairement le composant le plus faible, mais parce qu'il concentre la valeur la plus importante en transit entre différentes chaînes, souvent avec moins de redondance que les protocoles core ne se l'autorisent.
Pour THORChain, l'attaquant a exploité une faille cryptographique dans le GG20 TSS: il n'a pas volé la clé, il l'a reconstituée fragment par fragment lors d'opérations légitimes du réseau. Avec la clé réassemblée, il signait des transactions comme un validateur authentique. Aucune alerte jusqu'à ce que les mouvements on-chain soient déjà visibles.
Pour Verus Bridge, le vecteur reste en cours d'analyse, mais le pré-financement via Tornado Cash 14 heures avant indique une opération soigneusement planifiée, non opportuniste. Pour Echo Protocol, la faille n'était pas cryptographique: une clé admin sans protection, dotée d'un pouvoir d'émission illimité, constituait l'unique défense entre le protocole et quiconque y aurait accès.
Le mécanisme d'amplification des dégâts fonctionne toujours selon le même principe. Des tokens synthétiques ou wrapped émis par un bridge sont acceptés comme collatéral par des protocoles de lending adjacents. On crée de la valeur de toutes pièces, on emprunte de la valeur réelle, on sort avant que les systèmes réagissent. C'est le schéma qui a détruit le bridge Kelp DAO pour 292 millions de dollars en avril. Auparavant, avec des dynamiques similaires, Drift Protocol avait subi 285 millions de dollars de pertes. La composabilité DeFi est son point fort. Dans ces scénarios, c'est aussi le levier de destruction le plus efficace qui soit. Pour approfondir la protection dans ce contexte, le Guide Web3 de SpazioCrypto couvre les principaux risques opérationnels.
Selon DefiLlama, mai 2026 comptabilise déjà 14 incidents de sécurité sur des protocoles DeFi, et le 19 du mois n'est pas encore entièrement écoulé. Avril s'était clôturé à 651 millions de dollars au total, Kelp et Drift représentant à eux seuls 91% des pertes. L'attention se porte désormais sur deux points précis. Premier: l'attribution de l'exploit THORChain. TRM Labs n'a pas encore désigné de responsable.
Si l'implication du groupe Lazarus venait à être confirmée, comme ce fut déjà le cas pour Kelp et Drift, les pertes nord-coréennes pour 2026 dépasseraient celles de toutes les années précédentes, avec encore quatre mois à courir. Deuxième point: le vote de la communauté THORChain sur la remédiation, attendu entre le 22 et le 23 mai, portant sur le slashing des bonds du nœud compromis et la couverture via la liquidité appartenant au protocole. RUNE avait déjà perdu 15% en quelques heures.
Ce que la communauté décidera dans les prochains jours dira quelque chose de concret sur la capacité de la DeFi à se doter de règles sans attendre qu'une autorité extérieure les impose. Dans le contexte français, l'AMF suit de près l'évolution de la sécurité des protocoles DeFi dans le cadre du règlement MiCA, et des incidents de cette ampleur pourraient accélérer les discussions sur les exigences de sécurité pour les PSAN. Tous les mises à jour sur les exploits de mai sont réunies dans la section Hack de SpazioCrypto.
