Một ngày sau khi Thorchain (RUNE) tạm dừng toàn bộ hoạt động mạng lưới sau khi chịu một $10.8M multichain exploit, quỹ foundation đã ra mắt một cổng bồi thường trị giá 10 triệu USD để bắt đầu hoàn trả tiền cho các nạn nhân đã được xác minh.
Vụ tấn công đã rút cạn tiền trên các mạng Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) và Base, ảnh hưởng đến 12.847 ví.
Các thành viên đóng góp cho THORChain hiện believe vụ khai thác có thể bắt nguồn từ chính bên trong tập hợp validator. Trong bản cập nhật sự cố, đội ngũ cho biết bằng chứng cho thấy một node vừa mới churn có thể liên quan đến cuộc tấn công. Các điều tra viên nghi ngờ kẻ tấn công đã khai thác một lỗ hổng trong cách THORChain triển khai GG20 Threshold Signature Scheme, dần dần làm rò rỉ đủ dữ liệu khóa của kho để tái tạo khóa riêng và ký các giao dịch trái phép.
Giao thức cho biết các cuộc thảo luận về khắc phục hiện bao gồm việc slash bond của các validator bị ảnh hưởng và sử dụng dự trữ Thanh Khoản Sở Hữu Bởi Giao Thức (Protocol-Owned Liquidity) để hấp thụ thua lỗ. Trong khi việc chuyển RUNE có thể được nối lại sau khi thời gian tạm dừng tạm thời kết thúc, hoạt động giao dịch, hành động với pool thanh khoản và các thao tác nhạy cảm khác sẽ vẫn bị đình chỉ cho đến khi mạng lưới hoàn tất một kế hoạch khắc phục rộng hơn.
Diễn Biến Vụ Khai Thác
Cuộc tấn công nhắm vào lớp định tuyến thanh khoản cross-chain của Thorchain. Thorchain vận hành như một giao thức hoán đổi cross-chain phi tập trung, cho phép người dùng hoán đổi các tài sản native, bao gồm BTC, ETH và BNB, mà không cần wrapped token hay cầu nối.
Giao thức nắm giữ thanh khoản trong các kho (vault) do mạng kiểm soát trên mỗi chuỗi được hỗ trợ. Kẻ tấn công đã xác định một lỗ hổng trong logic định tuyến và rút tiền từ các vault trên cả bốn mạng cùng lúc. Tính chất đa chuỗi của cuộc tấn công là yếu tố đẩy tổng thiệt hại vượt ngưỡng 10 triệu USD. Không có chuỗi đơn lẻ nào gánh toàn bộ tổn thất.
Các nhà vận hành Thorchain đã tạm dừng toàn bộ giao dịch sau khi phát hiện dòng tiền ra bất thường. Việc dừng này ngăn chặn khai thác thêm, nhưng cũng đóng băng tiền của người dùng hợp lệ trong thời gian điều tra.
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
The Compensation Portal
Thorchain Foundation đã công bố cổng bồi thường 10 triệu USD bao phủ 12.847 ví bị ảnh hưởng trên bốn chuỗi. Nạn nhân phải xác minh quyền sở hữu ví trước khi yêu cầu được xử lý. Cách tiếp cận thông qua cổng, thay vì airdrop ngay lập tức, làm giảm rủi ro yêu cầu gian lận và cho phép đội ngũ đối chiếu dữ liệu on-chain với các chữ ký giao dịch cụ thể liên quan đến vụ khai thác.
Quỹ 10 triệu USD không bao phủ toàn bộ 10,8 triệu USD đã bị rút. Vẫn còn khoảng trống 800.000 USD chưa được giải thích công khai. Foundation chưa xác nhận liệu số tiền bổ sung sẽ được lấy từ kho bạc, một đợt bán token trong tương lai, hay thông qua nỗ lực truy thu đang diễn ra nhắm vào ví của kẻ tấn công.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Bối Cảnh
Thorchain có lịch sử gắn với các vụ khai thác. Giao thức từng chịu hai cuộc tấn công lớn vào mùa hè năm 2021, một vụ khoảng 5 triệu USD và một vụ khoảng 8 triệu USD. Cả hai đều được cho là xuất phát từ các lỗ hổng trong module Bifrost, bộ phận quản lý giao tiếp giữa mạng lõi của Thorchain và các chuỗi bên ngoài.
Thời điểm đó, đội ngũ đã dừng mạng và dùng quỹ cộng đồng để bù lỗ, thiết lập tiền lệ sử dụng tài nguyên kho bạc để bồi thường nạn nhân. Mô hình năm 2021 đó đang được Foundation lặp lại ngày nay.
Trong các năm sau các sự cố đó, Thorchain đã trải qua nhiều đợt kiểm toán bảo mật sâu rộng và ra mắt lại với kiến trúc vault được chỉnh sửa. Vụ khai thác năm 2026 cho thấy định tuyến cross-chain vẫn là một trong những bài toán khó nhất trong bảo mật tài chính phi tập trung, ngay cả sau nhiều vòng kiểm toán.
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Protocol Risk In Cross-Chain DeFi
Kiến trúc của Thorchain vốn phức tạp hơn đáng kể so với các giao thức một chuỗi. Mỗi blockchain bổ sung mà nó hỗ trợ đều làm tăng bề mặt tấn công. Giao thức hiện hỗ trợ hơn chục chuỗi. Mỗi tích hợp đòi hỏi logic vault tùy chỉnh và một bộ nối Bifrost riêng.
Một lỗ hổng trong bất kỳ bộ nối nào cũng có thể làm lộ toàn bộ số dư trong các vault được kết nối nếu lớp định tuyến không cô lập được thiệt hại. Đây là đánh đổi cốt lõi trong thiết kế cross-chain native. Các cầu wrapped-token được dùng bởi các giao thức đời cũ chuyển rủi ro đặc thù từng chuỗi sang chính hợp đồng cầu nối. Cách tiếp cận native của Thorchain loại bỏ rủi ro wrapped token nhưng tập trung rủi ro định tuyến trong chính codebase của nó.
Các nhà nghiên cứu bảo mật lưu ý rằng các giao thức cross-chain xử lý hơn 500 triệu USD tổng giá trị khóa (TVL) cần được kiểm thử đối kháng liên tục, không chỉ dựa vào kiểm toán định kỳ từ bên thứ ba. TVL của Thorchain đã đặt nó vào nhóm này trước khi bị dừng.
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Điều Gì Sẽ Diễn Ra Tiếp Theo
Việc dừng mạng sẽ vẫn được duy trì cho đến khi Foundation xác nhận lỗ hổng đã được vá. Chưa có mốc thời gian khởi động lại được công bố. Cổng bồi thường sẽ vận hành song song với quá trình rà soát bảo mật. Khi bản vá được ít nhất hai đơn vị kiểm toán độc lập xác minh, một cuộc bỏ phiếu quản trị giữa các staker RUNE nhiều khả năng sẽ quyết định thời điểm nối lại giao dịch.
Quá trình này có thể kéo dài từ vài ngày đến vài tuần, tùy thuộc vào độ phức tạp của bản sửa lỗi. Người dùng bị ảnh hưởng nên theo dõi các kênh chính thức của Thorchain để nắm hướng dẫn truy cập cổng và thời hạn gửi yêu cầu.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit