Einen Tag nachdem Thorchain (RUNE) sämtliche Netzwerkaktivitäten pausiert hatte, nachdem es einen $10.8M multichain exploit, erlitten hatte, eröffnete die Foundation ein Entschädigungsportal über 10 Mio. $, um mit der Rückzahlung von Geldern an verifizierte Opfer zu beginnen.
Der Vorfall leerte Bestände über Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) und Base und betraf 12.847 Wallets.
THORChain-Mitwirkende believe nun, dass der Exploit möglicherweise aus dem Validator-Set selbst heraus entstanden ist. In einem Incident-Update erklärte das Team, dass Hinweise auf einen neu „gechurnten“ Node hindeuten, der potenziell mit dem Angriff in Verbindung steht. Ermittler vermuten, dass der Angreifer eine Schwachstelle in der Implementierung des GG20 Threshold Signature Scheme von THORChain ausnutzte und nach und nach genügend Vault-Schlüsselmaterial leakte, um einen Private Key zu rekonstruieren und unautorisierte Transaktionen zu signieren.
Das Protokoll erklärte, dass die Gespräche zur Schadensbegrenzung nun beinhalten, betroffene Validator-Bonds zu „slashing“ und Reserven aus der Protocol-Owned Liquidity zu nutzen, um Verluste aufzufangen. Während RUNE-Transfers wieder aufgenommen werden könnten, sobald die temporäre Pause ausläuft, bleiben Handel, Liquiditätspools und andere sensible Operationen ausgesetzt, bis das Netzwerk einen umfassenderen Sanierungsplan finalisiert hat.
Wie sich der Exploit entwickelte
Der Angriff zielte auf die Cross-Chain-Liquiditäts-Routing-Schicht von Thorchain ab. Thorchain agiert als dezentralisiertes Cross-Chain-Swap-Protokoll. Es ermöglicht Nutzern, native Assets wie BTC, ETH und BNB ohne Wrapped Tokens oder Bridges zu tauschen.
Das Protokoll hält Liquidität in netzwerkgesteuerten Vaults auf jeder unterstützten Chain. Ein Angreifer identifizierte eine Schwachstelle in der Routing-Logik und zog gleichzeitig Gelder aus Vaults über alle vier Netzwerke ab. Die Multichain-Natur des Angriffs trieb den Gesamtschaden über die Marke von 10 Mio. $. Keine einzelne Chain trug den gesamten Verlust allein.
Die Betreiber von Thorchain stoppten nach der Erkennung ungewöhnlicher Abflüsse den gesamten Handel. Der Stopp verhindert weitere Ausnutzung, friert aber gleichzeitig legitime Nutzerfonds während der Untersuchung ein.
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
Der Entschädigungs‑Portal
Die Thorchain Foundation kündigte das Entschädigungsportal über 10 Mio. $ an, das die 12.847 betroffenen Wallets über die vier Chains abdeckt. Geschädigte müssen den Besitz ihrer Wallets verifizieren, bevor Ansprüche bearbeitet werden. Der Portal-Ansatz – statt eines sofortigen Airdrops – reduziert das Risiko betrügerischer Forderungen und erlaubt dem Team, On-Chain-Daten mit den spezifischen Transaktionssignaturen des Exploits abzugleichen.
Der 10-Mio.-$-Pool deckt nicht die gesamten abgezogenen 10,8 Mio. $. Eine Lücke von 800.000 $ bleibt öffentlich ungeklärt. Die Foundation hat nicht bestätigt, ob zusätzliche Mittel aus der Treasury, einem zukünftigen Tokenverkauf oder aus laufenden Wiederherstellungsversuchen gegen die Wallet des Angreifers stammen sollen.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Hintergrund
Thorchain hat eine Vorgeschichte mit Exploits. Das Protokoll erlitt im Sommer 2021 zwei große Angriffe, einen über etwa 5 Mio. $ und einen über rund 8 Mio. $. Beide wurden auf Schwachstellen im Bifrost-Modul zurückgeführt, das die Kommunikation zwischen Thorchains Kernnetzwerk und externen Chains steuert.
Damals stoppte das Team das Netzwerk und setzte Community-Mittel ein, um Verluste zu decken, und schuf damit einen Präzedenzfall für den Einsatz von Treasury-Ressourcen zur Opferentschädigung. Dieses Muster von 2021 spiegelt wider, was die Foundation heute tut.
In den Jahren nach diesen Vorfällen unterzog sich Thorchain umfangreichen Sicherheitsaudits und startete mit einer überarbeiteten Vault-Architektur neu. Der Exploit 2026 zeigt, dass Cross-Chain-Routing trotz mehrfacher Audit-Zyklen weiterhin eines der schwierigsten Probleme der DeFi-Sicherheit bleibt.
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Protokollrisiko im Cross‑Chain‑DeFi
Die Architektur von Thorchain ist von Natur aus komplexer als die von Single-Chain-Protokollen. Mit jeder zusätzlichen Blockchain, die unterstützt wird, vergrößert sich die Angriffsfläche. Das Protokoll unterstützt derzeit über ein Dutzend Chains. Jede Integration erfordert eigene Vault-Logik und einen Bifrost-Connector.
Ein Fehler in einem einzigen Connector kann alle verbundenen Vault-Bestände gefährden, wenn die Routing-Schicht den Schaden nicht isolieren kann. Das ist der zentrale Trade-off im nativen Cross-Chain-Design. Wrapped-Token-Brücken, wie sie ältere Protokolle nutzen, lagern das chain-spezifische Risiko in den Bridge-Contract aus. Thorchains nativer Ansatz eliminiert das Wrapped-Token-Risiko, konzentriert das Routing-Risiko aber im eigenen Code.
Sicherheitsforscher weisen darauf hin, dass Cross-Chain-Protokolle mit mehr als 500 Mio. $ an Total Value Locked kontinuierliche, gegnerische Tests benötigen und nicht nur periodische Audits durch Dritte. Thorchains TVL brachte das Protokoll vor dem Stopp in genau diese Kategorie.
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Wie es weitergeht
Der Netzwerkstopp bleibt bestehen, bis die Foundation bestätigt, dass die Schwachstelle behoben ist. Ein Zeitplan für den Neustart wurde nicht veröffentlicht. Das Entschädigungsportal läuft parallel zur Sicherheitsüberprüfung. Sobald der Fix von mindestens zwei unabhängigen Auditoren verifiziert ist, wird voraussichtlich eine Governance-Abstimmung unter den RUNE-Stakern darüber entscheiden, wann der Handel wieder aufgenommen wird.
Der Prozess könnte je nach Komplexität der Korrektur Tage oder mehrere Wochen dauern. Betroffene Nutzer sollten die offiziellen Thorchain-Kanäle für Anweisungen zum Portalzugang und zu Fristen für Ansprüche im Auge behalten.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit