Thorchain (RUNE), 10,8 milyon dolarlık çoklu zincir istismarı sonrası tüm ağ faaliyetlerini durdurmasından bir gün sonra, doğrulanmış mağdurlara fon iadesine başlamak için 10 milyon dolarlık bir tazminat portalı başlattı.
İhlal, Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) ve Base üzerindeki fonları boşaltarak 12.847 cüzdanı etkiledi.
THORChain katkıda bulunanları artık istismarın, doğrulayıcı setinin içinden kaynaklanmış olabileceğine inanıyor. Olay güncellemesinde ekip, kanıtların saldırıyla bağlantılı olabilecek, yeni döneme alınmış bir node’a işaret ettiğini söyledi. Araştırmacılar, saldırganın THORChain’in GG20 Eşik İmza Şeması uygulamasındaki bir açığı istismar ederek zamanla yeterli kasa anahtar materyalini sızdırdığından, böylece bir özel anahtar yeniden oluşturup yetkisiz işlemleri imzalayabildiğinden şüpheleniyor.
Protokol, kurtarma tartışmalarının artık etkilenen doğrulayıcı teminatlarının kesilmesini ve kayıpların karşılanması için Protokole Ait Likidite rezervlerinin kullanılmasını da kapsadığını belirtti. Geçici duraklatma süresi dolduğunda RUNE transferleri yeniden başlayabilse de alım satım, likidite havuzu işlemleri ve diğer hassas operasyonlar, ağ daha geniş kapsamlı bir iyileştirme planını tamamlayana kadar askıda kalacak.
İstismar Nasıl Gerçekleşti?
Saldırı, Thorchain’in zincirler arası likidite yönlendirme katmanını hedef aldı. Thorchain, zincirler arası merkeziyetsiz bir takas protokolü olarak çalışır. BTC, ETH ve BNB dahil olmak üzere yerel varlıkların, sarılmış token’lar veya köprüler olmadan takas edilmesini sağlar.
Protokol, desteklediği her zincirde, ağ tarafından kontrol edilen kasalarda likidite tutar. Bir saldırgan, yönlendirme mantığındaki bir zafiyeti fark ederek dört ağdaki kasalardan aynı anda fon çekti. Saldırının çoklu zincir yapısı, toplam kaybı 10 milyon dolar eşiğinin üzerine taşıdı. Tek bir zincir tüm zararı taşımadı.
Thorchain operatörleri, olağandışı çıkışları tespit ettikten sonra tüm alım satımı durdurdu. Bu durdurma, daha fazla istismarı önlerken soruşturma sırasında meşru kullanıcı fonlarını da donduruyor.
Ayrıca Oku: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
Tazminat Portalı
Thorchain Vakfı, dört zincirde etkilenmiş 12.847 cüzdanı kapsayan 10 milyon dolarlık tazminat portalını duyurdu. Mağdurların, talepler işleme alınmadan önce cüzdan sahipliğini doğrulamaları gerekiyor. Portal yaklaşımı, anlık bir airdrop’a kıyasla sahte talepler riskini azaltıyor ve ekibin zincir üstü verileri, istismar sırasında kullanılan spesifik işlem imzalarıyla çapraz kontrol etmesine imkân tanıyor.
10 milyon dolarlık havuz, çekilen 10,8 milyon doların tamamını kapsamıyor. Kamuya açıklanmamış 800 bin dolarlık bir açık kalıyor. Vakıf, ek fonların hazineden mi, gelecekteki bir token satışından mı yoksa saldırganın cüzdanını hedefleyen süregelen bir kurtarma çabasından mı sağlanacağını henüz doğrulamadı.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Arka Plan
Thorchain’in istismarlarla ilgili bir geçmişi var. Protokol, 2021 yazında biri yaklaşık 5 milyon dolar, diğeri yaklaşık 8 milyon dolar olmak üzere iki büyük saldırı yaşadı. Her ikisi de, Thorchain’in çekirdek ağı ile harici zincirler arasındaki iletişimi yöneten Bifrost modülündeki güvenlik açıklarına bağlandı.
O dönemde ekip ağı durdurdu ve kayıpları karşılamak için topluluk fonlarını kullanarak mağdurları tazmin etti; bu da hazine kaynaklarının tazminat için kullanılması konusunda bir emsal oluşturdu. 2021’deki bu model, Vakfın bugün yaptıklarıyla benzerlik taşıyor.
Bu olayların ardından geçen yıllarda Thorchain kapsamlı güvenlik denetimlerinden geçti ve revize edilmiş bir kasa mimarisiyle yeniden başlatıldı. 2026’daki istismar, çoklu denetim döngülerine rağmen zincirler arası yönlendirmenin, merkeziyetsiz finans güvenliğindeki en zor problemlerden biri olmaya devam ettiğini gösteriyor.
Ayrıca Oku: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Zincirler Arası DeFi’de Protokol Riski
Thorchain’in mimarisi, tek zincirli protokollerden doğası gereği daha karmaşıktır. Desteklediği her ek blockchain, saldırı yüzeyini genişletir. Protokol şu anda bir düzineden fazla zinciri destekliyor. Her entegrasyon, özel kasa mantığı ve bir Bifrost bağlayıcısı gerektiriyor.
Herhangi bir bağlayıcıdaki bir hata, yönlendirme katmanı hasarı izole edemezse tüm bağlı kasa bakiyelerini açığa çıkarabilir. Yerel zincirler arası tasarımın temel değiş tokuşu budur. Eski protokollerin kullandığı sarılmış-token köprüleri, zincire özgü riski köprü sözleşmesinin kendisine aktarır. Thorchain’in yerel yaklaşımı, sarılmış token riskini ortadan kaldırır ancak yönlendirme riskini kendi kod tabanında yoğunlaştırır.
Güvenlik araştırmacıları, toplam kilitli değeri 500 milyon doları aşan zincirler arası protokollerin, yalnızca periyodik üçüncü taraf denetimleriyle yetinmeyip sürekli saldırgan testlere tabi tutulması gerektiğini belirtiyor. Thorchain’in TVL’si, durdurma öncesinde onu bu kategoriye koyuyordu.
Ayrıca Oku: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Sırada Ne Var?
Ağın durdurulması, Vakıf zafiyetin yamandığını doğrulayıncaya kadar yürürlükte kalacak. Yeniden başlatma için bir zaman çizelgesi yayımlanmadı. Tazminat portalı, güvenlik incelemesiyle paralel olarak çalışacak. Yama en az iki bağımsız denetçi tarafından doğrulandıktan sonra, RUNE stake edenler arasında yapılacak bir yönetişim oylaması, alım satımın ne zaman yeniden başlayacağını muhtemelen belirleyecek.
Süreç, düzeltmenin karmaşıklığına bağlı olarak birkaç gün veya birkaç hafta sürebilir. Etkilenen kullanıcıların, portal erişim talimatları ve başvuru son tarihleri için resmi Thorchain kanallarını takip etmeleri gerekiyor.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit