Einen Tag nachdem Thorchain (RUNE) alle Netzwerkaktivitäten pausiert hatte, nachdem es einen $10.8M multichain exploit, erlitten hatte, startete die Foundation ein Entschädigungsportal über 10 Millionen US‑Dollar, um mit der Rückzahlung von Geldern an verifizierte Opfer zu beginnen.
Der Angriff zog Gelder über Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) und Base ab und betraf 12.847 Wallets.
THORChain‑Mitwirkende glauben nun, dass der Exploit möglicherweise aus dem Validierer‑Set selbst heraus entstanden ist. In einem Zwischenbericht erklärte das Team, Hinweise deuteten auf einen neu eingestiegenen Node hin, der potenziell mit dem Angriff in Verbindung steht. Ermittler vermuten, dass der Angreifer eine Schwachstelle in der Implementierung des GG20‑Threshold‑Signature‑Schemes von THORChain ausnutzte und so nach und nach genügend Vault‑Schlüsselmaterial leakte, um einen privaten Schlüssel zu rekonstruieren und nicht autorisierte Transaktionen zu signieren.
Das Protokoll erklärte, dass die Gespräche zur Schadensbegrenzung nun auch das Slashing der betroffenen Validator‑Bonds und den Einsatz von Protocol‑Owned‑Liquidity‑Reserven zur Abfederung der Verluste umfassen. Während RUNE‑Transfers wieder aufgenommen werden könnten, sobald die temporäre Pause ausläuft, bleiben Handel, Liquiditätspools und andere sensible Vorgänge solange ausgesetzt, bis das Netzwerk einen umfassenderen Sanierungsplan finalisiert hat.
Wie sich der Exploit entwickelte
Der Angriff zielte auf die Cross‑Chain‑Liquidity‑Routing‑Schicht von Thorchain. Thorchain fungiert als dezentralisiertes Cross‑Chain‑Swap‑Protokoll. Es ermöglicht Nutzern, native Assets wie BTC, ETH und BNB ohne Wrapped‑Token oder Bridges zu tauschen.
Das Protokoll hält Liquidität in von der Chain gesteuerten Vaults auf jeder unterstützten Blockchain. Ein Angreifer identifizierte eine Schwachstelle in der Routing‑Logik und zog Gelder gleichzeitig aus Vaults über alle vier Netzwerke ab. Die Multichain‑Natur des Angriffs trieb den Gesamtschaden über die Marke von 10 Millionen US‑Dollar. Keine einzelne Chain trug den gesamten Schaden allein.
Die Betreiber von Thorchain pausierten nach der Entdeckung ungewöhnlicher Abflüsse sämtlichen Handel. Der Stopp verhindert eine weitere Ausnutzung, friert jedoch während der Untersuchung auch die legitimen Nutzerguthaben ein.
Auch lesen: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
Die Entschädigungsplattform
Die Thorchain Foundation kündigte das Entschädigungsportal über 10 Millionen US‑Dollar an, das die 12.847 betroffenen Wallets über die vier Chains abdeckt. Geschädigte müssen den Besitz ihrer Wallets verifizieren, bevor Ansprüche bearbeitet werden. Der Portal‑Ansatz – anstelle eines sofortigen Airdrops – reduziert das Risiko betrügerischer Forderungen und ermöglicht es dem Team, On‑Chain‑Daten mit den spezifischen Transaktionssignaturen des Exploits abzugleichen.
Der Pool von 10 Millionen US‑Dollar deckt nicht den gesamten abgezogenen Betrag von 10,8 Millionen US‑Dollar ab. Eine Lücke von 800.000 US‑Dollar bleibt öffentlich ungeklärt. Die Foundation hat nicht bestätigt, ob zusätzliche Mittel aus ihrer Treasury, aus einem zukünftigen Token‑Sale oder durch laufende Wiederbeschaffungsversuche gegen die Wallet des Angreifers stammen sollen.
Auch lesen: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Hintergrund
Thorchain hat bereits eine Vorgeschichte mit Exploits. Das Protokoll erlitt im Sommer 2021 zwei größere Angriffe, einen über ungefähr 5 Millionen und einen über rund 8 Millionen US‑Dollar. Beide wurden auf Schwachstellen im Bifrost‑Modul zurückgeführt, das die Kommunikation zwischen Thorchains Kernnetzwerk und externen Chains steuert.
Damals stoppte das Team das Netzwerk und setzte Community‑Mittel ein, um Verluste zu kompensieren, und etablierte damit den Präzedenzfall, Treasury‑Ressourcen zur Opferentschädigung zu nutzen. Dieses Muster von 2021 spiegelt sich in dem wider, was die Foundation heute tut.
In den Jahren nach diesen Vorfällen durchlief Thorchain umfangreiche Sicherheitsaudits und startete mit einer überarbeiteten Vault‑Architektur neu. Der Exploit von 2026 zeigt, dass Cross‑Chain‑Routing trotz mehrfacher Audit‑Zyklen weiterhin eines der schwierigsten Probleme der DeFi‑Sicherheit bleibt.
Auch lesen: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Protokollrisiko im Cross‑Chain‑DeFi
Die Architektur von Thorchain ist von Natur aus komplexer als die von Single‑Chain‑Protokollen. Jede zusätzliche Blockchain, die unterstützt wird, vergrößert die Angriffsfläche. Das Protokoll unterstützt derzeit über ein Dutzend Chains. Jede Integration erfordert eigene Vault‑Logik und einen Bifrost‑Connector.
Ein Fehler in einem einzigen Connector kann sämtliche verbundenen Vault‑Bestände gefährden, wenn es der Routing‑Schicht nicht gelingt, Schäden zu isolieren. Dies ist der zentrale Trade‑off nativer Cross‑Chain‑Designs. Wrapped‑Token‑Bridges, wie sie von älteren Protokollen genutzt werden, verlagern das chain‑spezifische Risiko auf den Bridge‑Contract selbst. Thorchains nativer Ansatz eliminiert das Wrapped‑Token‑Risiko, konzentriert das Routing‑Risiko jedoch im eigenen Code.
Sicherheitsforscher weisen darauf hin, dass Cross‑Chain‑Protokolle mit mehr als 500 Millionen US‑Dollar Total Value Locked kontinuierlichen adversarialen Tests bedürfen und nicht nur periodischen Audits durch Dritte. Thorchains TVL brachte das Protokoll vor dem Stopp genau in diese Kategorie.
Auch lesen: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Wie es weitergeht
Die Netzwerkaussetzung bleibt bestehen, bis die Foundation bestätigt, dass die Schwachstelle behoben ist. Ein Zeitplan für den Neustart wurde nicht veröffentlicht. Das Entschädigungsportal läuft parallel zur Sicherheitsüberprüfung. Sobald der Fix von mindestens zwei unabhängigen Auditoren verifiziert ist, wird voraussichtlich eine Governance‑Abstimmung der RUNE‑Staker darüber entscheiden, wann der Handel wieder aufgenommen wird.
Der Prozess könnte je nach Komplexität der Korrektur einige Tage oder mehrere Wochen dauern. Betroffene Nutzer sollten die offiziellen Thorchain‑Kanäle im Blick behalten, um Anweisungen zum Portalzugang und zu Fristen für Ansprüche zu erhalten.
Als Nächstes lesen: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit