Een dag nadat Thorchain (RUNE) alle netwerkactiviteit had gepauzeerd na een $10,8M multichain-exploit, lanceerde de foundation een compensatieportaal van $10M om te beginnen met het terugbetalen van fondsen aan geverifieerde slachtoffers.
De inbreuk trok tegoeden leeg op Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) en Base, en trof 12.847 wallets.
THORChain-bijdragers denken nu dat de exploit uit de validator-set zelf kan zijn voortgekomen. In een incidentupdate zei het team dat bewijs wijst op een nieuw ingewisselde node die mogelijk aan de aanval is gelinkt. Onderzoekers vermoeden dat de aanvaller een zwakte in de implementatie van THORChain’s GG20 Threshold Signature Scheme heeft uitgebuit en zo geleidelijk genoeg vaultsleutel-materiaal lekte om een private key te reconstrueren en ongeautoriseerde transacties te autoriseren.
Het protocol gaf aan dat de herstelgesprekken nu onder meer het straffen (slashing) van getroffen validator-bonds en het gebruik van Protocol-Owned Liquidity-reserves om verliezen op te vangen, omvatten. Terwijl RUNE-transfers kunnen worden hervat zodra de tijdelijke pauze afloopt, blijven trading, liquiditeitspool-acties en andere gevoelige bewerkingen opgeschort totdat het netwerk een bredere herstelstrategie heeft afgerond.
Hoe de exploit verliep
De aanval richtte zich op Thorchains cross-chain liquiditeitsrouteringslaag. Thorchain opereert als een gedecentraliseerd cross-chain-swapprotocol. Het stelt gebruikers in staat om native assets, waaronder BTC, ETH en BNB, te swappen zonder wrapped tokens of bruggen.
Het protocol houdt liquiditeit aan in door het netwerk beheerde kluizen op elke ondersteunde chain. Een aanvaller identificeerde een kwetsbaarheid in de routeringslogica en haalde fondsen uit kluizen op alle vier de netwerken tegelijk. Het multichain-karakter van de aanval zorgde ervoor dat het totale verlies boven de grens van $10M uitkwam. Geen enkele keten droeg de volledige schade.
De operators van Thorchain pauzeerden alle handel nadat ze abnormale uitstromen detecteerden. De stop voorkomt verdere uitbuiting maar bevriest ook legitieme gebruikersfondsen tijdens het onderzoek.
Ook lezen: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
The Compensation Portal
De Thorchain Foundation kondigde het compensatieportaal van $10M aan voor de 12.847 getroffen wallets op de vier ketens. Slachtoffers moeten eigenaarschap van hun wallet verifiëren voordat claims worden verwerkt. De keuze voor een portaal, in plaats van een onmiddellijke airdrop, vermindert het risico op frauduleuze claims en stelt het team in staat on-chain data te kruisen met de specifieke transactiesignaturen die bij de exploit betrokken waren.
De pool van $10M dekt niet de volledige $10,8M die is weggenomen. Een gat van $800K blijft publiekelijk onbesproken. De Foundation heeft niet bevestigd of extra fondsen uit de treasury zullen komen, uit een toekomstige tokenverkoop, of via een lopend terugwinningsproces gericht op de wallet van de aanvaller.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Achtergrond
Thorchain heeft een geschiedenis met exploits. Het protocol kreeg twee grote aanvallen te verduren in de zomer van 2021, één van ongeveer $5M en één van ongeveer $8M. Beide werden toegeschreven aan kwetsbaarheden in de Bifrost-module, die de communicatie tussen Thorchains kernnetwerk en externe chains beheert.
Destijds legde het team het netwerk stil en gebruikte communityfondsen om verliezen te dekken, waarmee het een precedent schiep voor het gebruik van treasury-middelen voor slachtoffercompensatie. Dat patroon uit 2021 weerspiegelt wat de Foundation nu opnieuw doet.
In de jaren na die incidenten onderging Thorchain uitgebreide security-audits en werd het opnieuw gelanceerd met een herziene vault-architectuur. De exploit van 2026 suggereert dat cross-chain-routing een van de moeilijkste problemen in de beveiliging van gedecentraliseerde finance blijft, zelfs na meerdere auditrondes.
Ook lezen: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Protocolrisico in cross-chain DeFi
De architectuur van Thorchain is van nature complexer dan die van single-chain-protocollen. Elke extra blockchain die het ondersteunt, vergroot het aanvalsvlak. Het protocol ondersteunt momenteel meer dan een dozijn ketens. Elke integratie vereist aangepaste vaultlogica en een Bifrost-connector.
Een fout in een enkele connector kan alle gekoppelde vault-saldi blootstellen als de routeringslaag er niet in slaagt de schade te isoleren. Dit is de kerntrade-off in native cross-chain-design. Wrapped-tokenbruggen zoals die in oudere protocollen verschuiven ketenspecifiek risico naar het bridgecontract zelf. Thorchains native benadering elimineert wrapped-tokenrisico, maar concentreert routeringsrisico in de eigen codebase.
Security-onderzoekers merken op dat cross-chain-protocollen die meer dan $500M aan total value locked verwerken, voortdurend onderworpen moeten worden aan vijandige testen, niet alleen aan periodieke audits door derden. De TVL van Thorchain plaatste het in die categorie vóór de stopzetting.
Ook lezen: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Wat volgt
De netwerkstop blijft van kracht totdat de Foundation bevestigt dat de kwetsbaarheid is gepatcht. Een tijdlijn voor herstart is nog niet gepubliceerd. Het compensatieportaal zal parallel lopen aan de security-review. Zodra de patch is geverifieerd door minstens twee onafhankelijke auditors, zal een governance-stemming onder RUNE-stakers waarschijnlijk bepalen wanneer de handel wordt hervat.
Het proces kan dagen tot enkele weken duren, afhankelijk van de complexiteit van de oplossing. Getroffen gebruikers moeten de officiële Thorchain-kanalen volgen voor instructies over toegang tot het portaal en deadlines voor claims.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit