Thorchain (RUNE), 10,8 milyon $’lık çok zincirli bir istismarın ardından tüm ağ faaliyetlerini durdurduktan bir gün sonra, doğrulanmış mağdurlara fon iadesine başlamak için 10 milyon $’lık bir tazminat portalı başlattı.
İhlal, Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) ve Base üzerindeki fonları boşaltarak 12.847 cüzdanı etkiledi.
THORChain katkıda bulunanları artık istismarın doğrulayıcı kümesinin içinden kaynaklanmış olabileceğine inanıyor. Olay güncellemesinde ekip, kanıtların saldırıyla bağlantılı olabilecek, yeni devreye alınmış bir node’a işaret ettiğini söyledi. Soruşturmacılar, saldırganın THORChain’in GG20 Threshold Signature Scheme uygulamasındaki bir açığı kullanarak zaman içinde yeterli kasa anahtarı bilgisini sızdırdığından, böylece özel anahtarı yeniden oluşturup yetkisiz işlemleri yetkilendirdiğinden şüpheleniyor.
Protokol, kurtarma görüşmelerinin artık etkilenen doğrulayıcı teminatlarının kesilmesini ve kayıpları absorbe etmek için Protokole Ait Likidite rezervlerinin kullanılmasını da kapsadığını açıkladı. Geçici duraklama süresi dolduğunda RUNE transferleri yeniden başlayabilse de, alım satım, likidite havuzu işlemleri ve diğer hassas operasyonlar, ağ daha kapsamlı bir iyileştirme planını tamamlayana kadar askıda kalacak.
İstismar Nasıl Gelişti?
Saldırı, Thorchain’in zincirler arası likidite yönlendirme katmanını hedef aldı. Thorchain, merkeziyetsiz, zincirler arası takas protokolü olarak çalışıyor. Kullanıcıların, sarılmış token’lara veya köprülere ihtiyaç duymadan BTC, ETH ve BNB dâhil yerel varlıkları takas etmelerine imkân tanıyor.
Protokol, desteklenen her zincirde ağ tarafından kontrol edilen kasalarda likidite tutuyor. Bir saldırgan, yönlendirme mantığındaki bir güvenlik açığını tespit ederek dört ağdaki kasalardan aynı anda fon çekti. Saldırının çok zincirli yapısı, toplam kaybı 10 milyon $ eşiğinin üzerine taşıyan temel unsur oldu. Hiçbir tekil zincir tam hasarı tek başına üstlenmedi.
Thorchain operatörleri, olağan dışı çıkışları tespit ettikten sonra tüm alım satımı durdurdu. Bu duraklama, daha fazla istismarı önlerken soruşturma boyunca meşru kullanıcı fonlarını da donduruyor.
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
The Compensation Portal
Thorchain Vakfı, dört zincirdeki 12.847 etkilenen cüzdanı kapsayan 10 milyon $’lık tazminat portalını duyurdu. Mağdurların, talepler işleme alınmadan önce cüzdan sahipliğini doğrulamaları gerekiyor. Portal yaklaşımı, ani bir airdrop yerine tercih edilerek sahte talepler riskini azaltıyor ve ekibin zincir üstü verileri istismarda yer alan belirli işlem imzalarıyla çapraz kontrol etmesini sağlıyor.
10 milyon $’lık havuz, çekilen 10,8 milyon $’ın tamamını kapsamıyor. Kamuya açık biçimde ele alınmamış 800 bin $’lık bir açık bulunuyor. Vakıf, ek fonların hazinesinden mi, gelecekteki bir token satışından mı yoksa saldırganın cüzdanını hedefleyen süregelen bir kurtarma çabasından mı sağlanacağı konusunda net bir açıklama yapmadı.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Arka Plan
Thorchain’in istismar geçmişi bulunuyor. Protokol, 2021 yazında biri yaklaşık 5 milyon $, diğeri yaklaşık 8 milyon $ tutarında iki büyük saldırıya maruz kaldı. Her iki vaka da, Thorchain’in çekirdek ağı ile harici zincirler arasındaki iletişimi yöneten Bifrost modülündeki açıklara bağlandı.
O dönemde ekip ağı durdurmuş ve kayıpları karşılamak için topluluk fonlarını kullanarak, hazine kaynaklarının mağdur tazminatında kullanılmasına dair bir emsal oluşturmuştu. 2021’deki bu örüntü, Vakfın bugün yaptıklarıyla benzerlik gösteriyor.
Bu olayların ardından geçen yıllarda Thorchain kapsamlı güvenlik denetimlerinden geçti ve revize edilmiş bir kasa mimarisiyle yeniden başlatıldı. 2026’daki istismar, çoklu zincir yönlendirmenin, birden çok denetim döngüsünden sonra bile, merkeziyetsiz finans güvenliğinde en zor problemlerden biri olmaya devam ettiğini gösteriyor.
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Protocol Risk In Cross-Chain DeFi
Thorchain’in mimarisi, tek zincirli protokollerden doğası gereği daha karmaşık. Desteklediği her ek blockchain, saldırı yüzeyini büyütüyor. Protokol şu anda bir düzineden fazla zinciri destekliyor. Her entegrasyon, özel kasa mantığı ve bir Bifrost bağlayıcısı gerektiriyor.
Herhangi bir bağlayıcıdaki bir hata, yönlendirme katmanı hasarı yalıtmayı başaramazsa, bağlı tüm kasaların bakiyelerini açığa çıkarabilir. Bu, yerel çoklu zincir tasarımındaki temel ödünleşim. Eski protokollerin kullandığı sarılmış token köprüleri, zincire özgü riski köprü sözleşmesinin kendisine yükler. Thorchain’in yerel yaklaşımı, sarılmış token riskini ortadan kaldırırken yönlendirme riskini kendi kod tabanında yoğunlaştırıyor.
Güvenlik araştırmacıları, 500 milyon $’dan fazla kilitli toplam değeri işleyen çoklu zincir protokollerin, yalnızca dönemsel üçüncü taraf denetimleriyle yetinmeyip sürekli saldırgan testlere ihtiyaç duyduğunu belirtiyor. Thorchain’in TVL’i, durdurma öncesinde bu kategoriye giriyordu.
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Sırada Ne Var?
Ağ durdurması, Vakıf güvenlik açığının yamandığını doğrulayıncaya kadar yürürlükte kalacak. Yeniden başlatma için bir zaman çizelgesi yayımlanmadı. Tazminat portalı, güvenlik incelemesiyle paralel şekilde çalışacak. Yama, en az iki bağımsız denetçi tarafından doğrulandıktan sonra, muhtemelen RUNE stake edenler arasında yapılacak bir yönetişim oylaması, alım satımın ne zaman yeniden başlayacağını belirleyecek.
Süreç, düzeltmenin karmaşıklığına bağlı olarak birkaç gün ya da birkaç hafta sürebilir. Etkilenen kullanıcıların, portal erişim talimatları ve başvuru son tarihleri için resmi Thorchain kanallarını takip etmeleri gerekiyor.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit