ネットワーク全体の活動を停止し、1,080万ドル規模のマルチチェーン攻撃を受けた翌日、Thorchain(RUNE)財団は、検証済み被害者への返金を開始するため、1,000万ドルの補償ポータルを立ち上げた。
この侵害により、Bitcoin(BTC)、Ethereum(ETH)、BNB Chain(BNB)、Baseにまたがる12,847のウォレットから資金が流出した。
THORChainのコントリビューターは現在、この攻撃がバリデータセット内部から発生した可能性があると考えている。インシデント更新の中でチームは、新たにチェーン入りしたノードが攻撃に関与している可能性を示す証拠があると説明した。調査担当者は、攻撃者がTHORChainのGG20 Threshold Signature Scheme実装の欠陥を突き、ボルト鍵の素材を徐々に漏洩させることで秘密鍵を再構成し、不正トランザクションを承認したと疑っている。
プロトコルによると、現在の回復策の議論には、影響を受けたバリデータボンドのスラッシュや、損失吸収のためのプロトコル保有流動性リザーブの活用が含まれる。RUNEの送金は一時停止期間終了後に再開する可能性があるものの、取引や流動性プール関連の操作、その他のセンシティブなオペレーションは、ネットワークがより広範な救済計画を確定させるまで停止されたままとなる。
攻撃はどのように発生したか
今回の攻撃は、Thorchainのクロスチェーン流動性ルーティングレイヤーを標的にした。Thorchainは分散型のクロスチェーンスワッププロトコルとして機能し、ラップドトークンやブリッジを使わずに、BTC、ETH、BNBなどのネイティブ資産同士のスワップを可能にしている。
プロトコルは、対応する各チェーン上でネットワークが管理するボルトに流動性を保管している。攻撃者はルーティングロジックの脆弱性を突き、4つのネットワークすべてのボルトから同時に資金を引き出した。攻撃がマルチチェーンにまたがったことが、損失総額を1,000万ドル超まで押し上げた理由だ。単一のチェーンだけが全損失を被ったわけではない。
Thorchainのオペレーターは異常な資金流出を検知した後、すべての取引を一時停止した。この停止措置により、これ以上の悪用は防がれる一方で、調査中は正当なユーザー資金も凍結されることになる。
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
The Compensation Portal
Thorchain財団は、4チェーンにまたがる12,847の被害ウォレットを対象とした1,000万ドル規模の補償ポータルを発表した。被害者は、請求処理前にウォレットの所有権を証明する必要がある。即時エアドロップではなくポータル方式を採用することで、不正請求のリスクを抑えつつ、オンチェーンデータと攻撃に関わった特定のトランザクション署名を突き合わせることができる。
1,000万ドルのプールは、流出した1,080万ドルの全額をカバーしているわけではない。80万ドル分のギャップは公には埋められていない。財団は、追加資金をトレジャリーから拠出するのか、将来的なトークンセールから調達するのか、あるいは攻撃者ウォレットを標的にした継続的な回収努力から賄うのかについて、まだ明言していない。
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
背景
Thorchainには、過去にも複数の攻撃被害がある。プロトコルは2021年の夏に2度の大規模攻撃を受け、1件は約500万ドル、もう1件は約800万ドルの損失を出した。いずれも、Thorchainのコアネットワークと外部チェーン間の通信を管理するBifrostモジュールの脆弱性に起因するとされた。
当時チームはネットワークを停止し、コミュニティ資金を用いて損失を補填し、トレジャリーリソースを被害者補償に充てる前例を作った。この2021年の対応パターンは、財団が現在行っていることと重なる。
その後数年にわたり、Thorchainは大規模なセキュリティ監査を実施し、ボルトアーキテクチャを改訂して再ローンチした。今回の2026年の攻撃は、複数回の監査を経た後でも、クロスチェーンルーティングが分散型金融における最難関のセキュリティ課題の一つであり続けていることを示唆している。
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Protocol Risk In Cross-Chain DeFi
Thorchainのアーキテクチャは、単一チェーンのプロトコルと比べて本質的に複雑だ。対応チェーンを1つ追加するごとに攻撃対象領域は広がる。プロトコルは現在、十数を超えるチェーンをサポートしている。それぞれの統合には、専用のボルトロジックとBifrostコネクタが必要となる。
いずれか1つのコネクタに欠陥があり、ルーティングレイヤーがダメージを隔離できなかった場合、すべての接続ボルト残高が露出する可能性がある。これはネイティブクロスチェーン設計における中核的トレードオフだ。従来型プロトコルで使われるラップドトークンブリッジでは、チェーン固有のリスクはブリッジコントラクト側にオフロードされる。Thorchainのネイティブアプローチはラップドトークンのリスクを排除する一方で、ルーティングリスクを自らのコードベースに集中させている。
セキュリティ研究者らは、総ロック価値(TVL)が5億ドルを超えるクロスチェーンプロトコルには、定期的な第三者監査だけでなく、継続的な敵対的テストが必要だと指摘している。停止前のThorchainのTVLは、そのカテゴリーに該当していた。
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
今後の見通し
ネットワークの停止は、財団が脆弱性の修正を確認するまで継続される。再開のタイムラインはまだ公表されていない。補償ポータルはセキュリティレビューと並行して運用される。パッチが少なくとも2つの独立した監査機関によって検証された後、RUNEステーカーによるガバナンス投票で取引再開のタイミングが決まる可能性が高い。
修正内容の複雑さにより、このプロセスには数日から数週間かかる可能性がある。被害ユーザーは、ポータルへのアクセス方法や請求期限に関する案内を得るため、公式のThorchainチャネルを確認し続けるべきだ。
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit