Un giorno dopo che Thorchain (RUNE) ha sospeso tutta l’attività di rete in seguito a un $10.8M multichain exploit, la fondazione ha lanciato un portale di compensazione da 10 milioni di dollari per iniziare a restituire i fondi alle vittime verificate.
La violazione ha prosciugato fondi su Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) e Base, colpendo 12.847 wallet.
I contributor di THORChain ora believe che l’exploit possa avere avuto origine all’interno dello stesso set di validatori. In un aggiornamento sull’incidente, il team ha affermato che gli indizi puntano a un nodo appena inserito nel churn, potenzialmente collegato all’attacco. Gli investigatori sospettano che l’attaccante abbia sfruttato una vulnerabilità nell’implementazione dello schema di firma a soglia GG20 di THORChain, facendo filtrare gradualmente abbastanza materiale della chiave del vault da ricostruire una chiave privata e autorizzare transazioni non autorizzate.
Il protocollo ha dichiarato che le discussioni sul recupero ora includono lo slashing delle obbligazioni dei validatori colpiti e l’uso delle riserve di Protocol-Owned Liquidity per assorbire le perdite. Sebbene i trasferimenti di RUNE possano riprendere una volta scaduta la pausa temporanea, il trading, le operazioni sui pool di liquidità e altre funzioni sensibili rimarranno sospese finché la rete non avrà finalizzato un piano di rimedio più ampio.
Come si è svolto l’exploit
L’attacco ha preso di mira il livello di instradamento della liquidità cross-chain di Thorchain. Thorchain opera come protocollo decentralizzato di swap cross-chain. Consente agli utenti di scambiare asset nativi, inclusi BTC, ETH e BNB, senza token wrapped o bridge.
Il protocollo detiene liquidità in vault controllati dalla rete su ciascuna chain supportata. Un attaccante ha identificato una vulnerabilità nella logica di instradamento ed ha estratto fondi dai vault su tutte e quattro le reti simultaneamente. La natura multichain dell’attacco è ciò che ha portato la perdita totale oltre la soglia dei 10 milioni di dollari. Nessuna singola chain ha subito l’intero danno.
Gli operatori di Thorchain hanno sospeso tutto il trading dopo aver rilevato flussi in uscita anomali. Il blocco impedisce ulteriori sfruttamenti ma congela anche i fondi legittimi degli utenti durante le indagini.
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
Il portale di compensazione
La Thorchain Foundation ha annunciato il portale di compensazione da 10 milioni di dollari che copre i 12.847 wallet colpiti sulle quattro chain. Le vittime devono verificare la proprietà del wallet prima che le richieste vengano elaborate. L’approccio tramite portale, invece di un airdrop immediato, riduce il rischio di richieste fraudolente e consente al team di incrociare i dati on-chain con le specifiche firme di transazione coinvolte nell’exploit.
Il fondo da 10 milioni di dollari non copre l’intero ammontare dei 10,8 milioni sottratti. Rimane pubblicamente scoperto un gap di 800.000 dollari. La Foundation non ha confermato se ulteriori fondi verranno prelevati dal proprio tesoro, da una futura vendita di token o tramite un continuo sforzo di recupero rivolto al wallet dell’attaccante.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Contesto
Thorchain ha una storia di exploit. Il protocollo ha subito due grandi attacchi nell’estate del 2021, uno di circa 5 milioni di dollari e uno di circa 8 milioni. Entrambi sono stati attribuiti a vulnerabilità nel modulo Bifrost, che gestisce la comunicazione tra la rete core di Thorchain e le chain esterne.
All’epoca, il team sospese la rete ed emise fondi della comunità per coprire le perdite, stabilendo il precedente dell’uso delle risorse di tesoreria per compensare le vittime. Quel modello del 2021 rispecchia ciò che la Foundation sta facendo oggi.
Negli anni successivi a quegli incidenti, Thorchain è stata sottoposta a estesi audit di sicurezza ed è stata rilanciata con una nuova architettura dei vault. L’exploit del 2026 suggerisce che l’instradamento cross-chain rimane uno dei problemi più difficili nella sicurezza della finanza decentralizzata, anche dopo molteplici cicli di audit.
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Rischio di protocollo nella DeFi cross-chain
L’architettura di Thorchain è intrinsecamente più complessa rispetto ai protocolli su singola chain. Ogni blockchain aggiuntiva che supporta aumenta la superficie di attacco. Il protocollo attualmente supporta oltre una dozzina di chain. Ogni integrazione richiede logica di vault personalizzata e un connettore Bifrost.
Un difetto in un qualsiasi connettore può esporre tutti i saldi dei vault collegati se il livello di instradamento non riesce a isolare il danno. Questo è il trade-off centrale nel design cross-chain nativo. I bridge con token wrapped, come quelli usati dai protocolli più vecchi, spostano il rischio specifico della chain sul contratto del bridge stesso. L’approccio nativo di Thorchain elimina il rischio dei token wrapped ma concentra il rischio di instradamento nel proprio codice.
I ricercatori di sicurezza hanno osservato che i protocolli cross-chain che gestiscono più di 500 milioni di dollari in total value locked richiedono test avversariali continui, non solo audit periodici di terze parti. Il TVL di Thorchain la collocava in quella categoria prima del blocco.
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Cosa succede adesso
Il blocco della rete rimarrà in vigore finché la Foundation non confermerà che la vulnerabilità è stata corretta. Non è stata pubblicata una timeline per il riavvio. Il portale di compensazione funzionerà in parallelo con la revisione della sicurezza. Una volta che la patch sarà stata verificata da almeno due auditor indipendenti, un voto di governance tra gli staker di RUNE probabilmente determinerà quando il trading potrà riprendere.
Il processo potrebbe richiedere giorni o diverse settimane, a seconda della complessità della correzione. Gli utenti colpiti dovrebbero monitorare i canali ufficiali di Thorchain per le istruzioni di accesso al portale e le scadenze per le richieste.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit