На следующий день после того, как Thorchain (RUNE) приостановил всю сетевую активность из‑за $10,8M multichain exploit, фонд запустил компенсационный портал на $10 млн, чтобы начать возврат средств проверенным жертвам.
Взлом вывел средства из Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) и Base, затронув 12 847 кошельков.
Контрибьюторы THORChain теперь believe, что эксплойт мог исходить изнутри самого набора валидаторов. В обновлении по инциденту команда сообщила, что улики указывают на недавно «перекрученный» узел, потенциально связанный с атакой. Следователи подозревают, что злоумышленник воспользовался изъяном в реализации THORChain схемы пороговой подписи GG20, постепенно утягивая достаточно материала ключа хранилища, чтобы восстановить приватный ключ и авторизовать несанкционированные транзакции.
Протокол сообщил, что в обсуждение восстановления теперь входят «слэшинг» затронутых облигаций валидаторов и использование резервов Protocol-Owned Liquidity для поглощения убытков. Хотя переводы RUNE могут возобновиться после окончания временной паузы, торговля, операции с пулами ликвидности и другие чувствительные действия останутся приостановленными до тех пор, пока сеть не утвердит более широкий план ремедиации.
Как развивался эксплойт
Атака была нацелена на кроссчейн‑уровень маршрутизации ликвидности Thorchain. Thorchain работает как децентрализованный кроссчейн‑свап‑протокол. Он позволяет пользователям обменивать нативные активы, включая BTC, ETH и BNB, без обернутых токенов или мостов.
Протокол хранит ликвидность в контролируемых сетью хранилищах в каждой поддерживаемой сети. Злоумышленник обнаружил уязвимость в логике маршрутизации и изъял средства из хранилищ сразу во всех четырех сетях. Именно мультичейн‑характер атаки увеличил общий ущерб выше порога в $10 млн. Ни одна отдельная сеть не понесла полный ущерб.
Операторы Thorchain приостановили всю торговлю после обнаружения аномальных оттоков. Остановка предотвращает дальнейшую эксплуатацию, но одновременно замораживает и средства добросовестных пользователей на время расследования.
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
Компенсационный портал
Фонд Thorchain анонсировал компенсационный портал на $10 млн, покрывающий 12 847 пострадавших кошельков в четырех сетях. Жертвы должны подтвердить владение кошельком до обработки заявок. Такой формат портала, а не моментальный airdrop, снижает риск мошеннических требований и позволяет команде сопоставлять ончейн‑данные с конкретными подписями транзакций, задействованных в эксплойте.
Пул в $10 млн не покрывает всю сумму изъятых $10,8 млн. Неразъясненный разрыв в $800 тыс. остается. Фонд не подтвердил, будут ли дополнительные средства взяты из его казны, будущей продажи токенов или в рамках продолжающихся попыток вернуть деньги с кошелька атакующего.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Предыстория
У Thorchain уже была история с эксплойтами. Протокол пережил две крупные атаки летом 2021 года: одну примерно на $5 млн и одну примерно на $8 млн. Обе были связаны с уязвимостями в модуле Bifrost, который управляет коммуникацией между основной сетью Thorchain и внешними сетями.
Тогда команда остановила сеть и выделила средства сообщества для покрытия убытков, заложив прецедент использования казначейских ресурсов для компенсации жертвам. Этот сценарий 2021 года зеркалирует то, что Фонд делает сейчас.
В последующие годы Thorchain прошел обширные аудиты безопасности и перезапустился с обновленной архитектурой хранилищ. Эксплойт 2026 года показывает, что кроссчейн‑маршрутизация остается одной из самых сложных задач в безопасности децентрализованных финансов, даже после нескольких циклов аудита.
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Риски протокола в кроссчейн‑DeFi
Архитектура Thorchain по своей сути сложнее, чем у односетевых протоколов. Каждая дополнительная поддерживаемая блокчейн‑сеть увеличивает площадь атаки. В настоящее время протокол поддерживает более десятка сетей. Каждая интеграция требует отдельной логики хранилищ и коннектора Bifrost.
Изъян в любом одном коннекторе может раскрыть балансы всех связанных хранилищ, если уровень маршрутизации не изолирует ущерб. Это ключевой компромисс нативного кроссчейн‑подхода. Мосты с обернутыми токенами, используемые старыми протоколами, переносят риск, специфичный для цепочки, в сам контракт моста. Нативный подход Thorchain устраняет риск обернутых токенов, но концентрирует риск маршрутизации в собственном коде протокола.
Исследователи безопасности отмечали, что кроссчейн‑протоколы, обрабатывающие более $500 млн TVL, нуждаются в постоянном «адверсариальном» тестировании, а не только в периодических внешних аудитах. До остановки именно к этой категории относился TVL Thorchain.
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Что дальше
Остановка сети сохранится, пока Фонд не подтвердит, что уязвимость устранена. Срок возобновления работы пока не опубликован. Компенсационный портал будет функционировать параллельно с проверкой безопасности. После того как исправление подтвердят как минимум два независимых аудитора, голосование управления среди стейкеров RUNE, вероятно, определит дату возобновления торговли.
Процесс может занять от нескольких дней до нескольких недель в зависимости от сложности исправления. Пострадавшим пользователям следует отслеживать официальные каналы Thorchain для получения инструкций по доступу к порталу и срокам подачи заявок.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit