Một ngày sau khi Thorchain (RUNE) tạm dừng toàn bộ hoạt động mạng lưới vì chịu một vụ khai thác multichain trị giá 10,8 triệu đô, foundation đã mở một cổng bồi thường 10 triệu đô để bắt đầu hoàn trả tiền cho các nạn nhân đã được xác minh.
Vụ vi phạm đã rút tiền trên các mạng Bitcoin (BTC), Ethereum (ETH), BNB Chain (BNB) và Base, ảnh hưởng đến 12.847 ví.
Các contributor của THORChain hiện cho rằng vụ khai thác có thể bắt nguồn từ chính bên trong tập validator. Trong một bản cập nhật sự cố, đội ngũ cho biết bằng chứng cho thấy một node mới churn có thể liên quan đến cuộc tấn công. Các nhà điều tra nghi ngờ kẻ tấn công đã khai thác một lỗ hổng trong cách triển khai GG20 Threshold Signature Scheme của THORChain, từ từ rò rỉ đủ dữ liệu khóa của vault để tái tạo khóa riêng và ký các giao dịch trái phép.
Giao thức cho biết các cuộc thảo luận về khôi phục hiện bao gồm việc cắt giảm (slashing) bond của các validator bị ảnh hưởng và sử dụng dự trữ Protocol-Owned Liquidity để hấp thụ tổn thất. Trong khi chuyển RUNE có thể được nối lại sau khi thời gian tạm dừng tạm thời hết hạn, giao dịch, hoạt động pool thanh khoản và các thao tác nhạy cảm khác sẽ vẫn bị đình chỉ cho đến khi mạng hoàn tất một kế hoạch khắc phục rộng hơn.
Diễn biến vụ khai thác
Cuộc tấn công nhắm vào lớp định tuyến thanh khoản cross-chain của Thorchain. Thorchain vận hành như một giao thức hoán đổi cross-chain phi tập trung, cho phép người dùng hoán đổi tài sản native, gồm BTC, ETH và BNB, mà không cần wrapped token hay cầu nối.
Giao thức nắm giữ thanh khoản trong các vault do mạng kiểm soát trên mỗi chain được hỗ trợ. Kẻ tấn công đã xác định một lỗ hổng trong logic định tuyến và rút tiền khỏi các vault trên cả bốn mạng cùng lúc. Tính chất multichain của cuộc tấn công là lý do khiến tổng thiệt hại vượt ngưỡng 10 triệu đô; không có chain đơn lẻ nào gánh toàn bộ tổn thất.
Người vận hành Thorchain đã tạm dừng mọi giao dịch ngay sau khi phát hiện dòng tiền bất thường chảy ra. Việc dừng mạng ngăn chặn khai thác thêm nhưng cũng đóng băng tiền hợp pháp của người dùng trong thời gian điều tra.
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
The Compensation Portal
Thorchain Foundation đã công bố cổng bồi thường 10 triệu đô bao phủ 12.847 ví bị ảnh hưởng trên bốn chain. Nạn nhân phải xác minh quyền sở hữu ví trước khi yêu cầu được xử lý. Cách tiếp cận qua cổng, thay vì airdrop ngay lập tức, giúp giảm rủi ro yêu cầu gian lận và cho phép đội ngũ đối soát dữ liệu on-chain với các chữ ký giao dịch cụ thể liên quan trong vụ khai thác.
Quỹ 10 triệu đô không bù đắp toàn bộ 10,8 triệu đô bị rút. Vẫn còn khoảng trống 800.000 đô chưa được giải thích công khai. Foundation chưa xác nhận liệu sẽ lấy thêm tiền từ kho bạc của mình, từ một đợt bán token trong tương lai, hay từ nỗ lực thu hồi đang diễn ra nhắm vào ví của kẻ tấn công.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
Bối cảnh
Thorchain có tiền sử dính đến các vụ khai thác. Giao thức đã chịu hai cuộc tấn công lớn vào mùa hè 2021, một vụ khoảng 5 triệu đô và một vụ khoảng 8 triệu đô. Cả hai được cho là bắt nguồn từ các lỗ hổng trong module Bifrost, phần quản lý giao tiếp giữa mạng lõi của Thorchain và các chain bên ngoài.
Khi đó, đội ngũ đã dừng mạng và sử dụng quỹ cộng đồng để bù đắp tổn thất, tạo tiền lệ sử dụng tài nguyên kho bạc để bồi thường nạn nhân. Mô hình năm 2021 đó phản chiếu điều Foundation đang làm ngày nay.
Trong những năm sau các sự cố đó, Thorchain đã trải qua nhiều cuộc kiểm toán bảo mật và khởi chạy lại với kiến trúc vault được sửa đổi. Vụ khai thác năm 2026 cho thấy định tuyến cross-chain vẫn là một trong những bài toán khó nhất trong bảo mật tài chính phi tập trung, ngay cả sau nhiều vòng kiểm toán.
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
Rủi ro giao thức trong DeFi cross-chain
Kiến trúc của Thorchain vốn phức tạp hơn nhiều so với các giao thức đơn chain. Mỗi blockchain bổ sung mà nó hỗ trợ đều làm tăng bề mặt tấn công. Hiện giao thức hỗ trợ hơn một chục chain. Mỗi tích hợp đòi hỏi logic vault tùy chỉnh và một connector Bifrost riêng.
Lỗi trong bất kỳ connector nào cũng có thể phơi bày toàn bộ số dư vault được kết nối nếu lớp định tuyến không cô lập được thiệt hại. Đây là đánh đổi cốt lõi trong thiết kế cross-chain native. Các cầu wrapped token như những gì giao thức cũ sử dụng chuyển rủi ro đặc thù từng chain sang chính hợp đồng cầu nối. Cách tiếp cận native của Thorchain loại bỏ rủi ro wrapped token nhưng lại tập trung rủi ro định tuyến trong codebase của chính nó.
Các nhà nghiên cứu bảo mật lưu ý rằng các giao thức cross-chain xử lý trên 500 triệu đô tổng giá trị khóa cần được kiểm thử đối kháng liên tục, thay vì chỉ kiểm toán định kỳ bởi bên thứ ba. TVL của Thorchain đã đặt nó vào nhóm này trước khi bị dừng.
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
Điều gì sẽ xảy ra tiếp theo
Việc dừng mạng sẽ được duy trì cho đến khi Foundation xác nhận lỗ hổng đã được vá. Chưa có timeline khởi động lại được công bố. Cổng bồi thường sẽ vận hành song song với quá trình rà soát bảo mật. Sau khi bản vá được ít nhất hai đơn vị kiểm toán độc lập xác minh, một cuộc bỏ phiếu quản trị giữa các staker RUNE nhiều khả năng sẽ quyết định thời điểm nối lại giao dịch.
Quá trình này có thể kéo dài từ vài ngày đến vài tuần, tùy vào độ phức tạp của bản sửa. Người dùng bị ảnh hưởng nên theo dõi các kênh chính thức của Thorchain để nhận hướng dẫn truy cập cổng và thời hạn gửi yêu cầu.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit