Thorchain(RUNE)が1,080万ドル規模のマルチチェーン悪用被害を受け、すべてのネットワーク活動を一時停止してから1日後、財団は被害者に資金を返還し始めるための1,000万ドル補償ポータルを立ち上げた。
この侵害によって、Bitcoin(BTC)、Ethereum(ETH)、BNB Chain(BNB)、そしてBaseにまたがる資金が流出し、合計12,847ウォレットが影響を受けた。
THORChainのコントリビューターたちは現在、この悪用がバリデータセット内部から発生した可能性があると考えている。インシデントに関する最新情報では、新たにチャーンされたノードが攻撃と関連している可能性がある証拠が示されているという。調査担当者は、攻撃者がTHORChainのGG20 Threshold Signature Schemeの実装上の欠陥を突き、時間をかけてボールト鍵の素材を漏えいさせることで秘密鍵を再構成し、不正なトランザクションを承認できるようにしたと疑っている。
プロトコル側は現在、影響を受けたバリデータボンドのスラッシュや、損失吸収のためにプロトコル保有流動性(Protocol-Owned Liquidity)準備金を活用する案を交えて回復策を検討している。RUNEの送金は一時停止が解除されれば再開できる可能性がある一方で、取引、流動性プールの操作やその他のセンシティブなオペレーションは、ネットワークがより包括的な是正計画を確定するまで停止されたままとなる。
悪用はどのように発生したのか
この攻撃は、Thorchainのクロスチェーン流動性ルーティングレイヤーを標的にした。Thorchainは分散型のクロスチェーンスワッププロトコルとして機能しており、ラップドトークンやブリッジを使わずにBTC、ETH、BNBなどのネイティブ資産同士をスワップできる。
プロトコルは、対応する各チェーン上でネットワーク管理のボールトに流動性を保管している。攻撃者はこのルーティングロジックの脆弱性を突き、4つのネットワークすべてのボールトから同時に資金を抜き取った。マルチチェーンでの同時攻撃であったことが、損失総額を1,000万ドル超まで押し上げた要因となった。単一チェーンだけが被害の全てを負ったわけではない。
Thorchainのオペレーターは異常な資金流出を検知した後、すべての取引を一時停止した。この停止措置はさらなる悪用を防ぐ一方で、調査期間中は正当なユーザー資金も凍結されることになる。
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
The Compensation Portal
Thorchain財団は、4つのチェーンにまたがる12,847の被害ウォレットを対象とした1,000万ドル規模の補償ポータルを発表した。被害者は請求処理の前にウォレットの所有権を検証する必要がある。エアドロップによる即時配布ではなくポータル方式を採用することで、不正請求のリスクを低減し、オンチェーンデータと悪用に関与した特定のトランザクション署名を突き合わせることが可能になる。
この1,000万ドルのプールは、流出した1,080万ドルの全額をカバーするものではない。公開情報の時点では、80万ドル分のギャップが残されている。財団は、追加資金をトレジャリーから拠出するのか、将来のトークンセールから調達するのか、あるいは攻撃者ウォレットを標的にした継続的な回収活動を通じて賄うのかについて、まだ明らかにしていない。
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
背景
Thorchainはこれまでも複数回の悪用被害に遭ってきた。プロトコルは2021年夏に2度の大きな攻撃を受け、1回は約500万ドル、もう1回は約800万ドルの損失を出した。いずれの攻撃も、Thorchainのコアネットワークと外部チェーン間の通信を管理するBifrostモジュールの脆弱性に起因するとされた。
当時、チームはネットワークを停止し、コミュニティファンドを用いて損失を補填し、トレジャリーリソースを被害者補償に充てる前例を築いた。今回、財団が行っている対応は、その2021年のパターンをなぞる形となっている。
それらのインシデント後の数年間で、Thorchainは広範なセキュリティ監査を受け、ボールトアーキテクチャを改訂したうえで再ローンチした。それにもかかわらず、今回の2026年の悪用は、複数回の監査サイクルを経た後でも、クロスチェーンルーティングが依然として分散型金融における最も難しいセキュリティ課題の一つであることを示唆している。
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Protocol Risk In Cross-Chain DeFi
Thorchainのアーキテクチャは、単一チェーンのプロトコルと比べて本質的に複雑だ。対応チェーンが1つ増えるごとに攻撃面も拡大する。プロトコルは現在、10を超えるチェーンをサポートしており、それぞれに専用のボールトロジックとBifrostコネクタが必要になる。
いずれか1つのコネクタに欠陥があれば、ルーティングレイヤーが被害を適切に分離できない場合、接続されているすべてのボールト残高が危険にさらされ得る。これはネイティブなクロスチェーン設計における根本的なトレードオフだ。従来型プロトコルで使われるラップドトークンブリッジでは、チェーン固有のリスクはブリッジコントラクト側に切り離される。一方、Thorchainのネイティブアプローチは、ラップドトークンリスクを排除する代わりに、ルーティングリスクを自らのコードベースに集中させている。
セキュリティ研究者は、総ロック価値(TVL)が5億ドルを超えるクロスチェーンプロトコルは、定期的な第三者監査だけでなく、継続的な敵対的テストが必要になると指摘してきた。停止前のThorchainのTVLは、まさにそのカテゴリーに該当していた。
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
今後の見通し
ネットワークの停止は、財団が脆弱性の修正を確認するまで続く。再稼働のタイムラインはまだ公表されていない。補償ポータルはセキュリティレビューと並行して運用される予定だ。パッチが少なくとも2つの独立した監査機関によって検証されれば、RUNEステーカーによるガバナンス投票を通じて、取引再開の時期が決定される可能性が高い。
このプロセスには、修正の複雑さによって数日から数週間かかる可能性がある。影響を受けたユーザーは、公式のThorchainチャネルを通じてポータルへのアクセス方法や請求期限に関する案内を確認する必要がある。
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit