Thorchain 在多鏈攻擊掏空四條網絡後 開啟 1,000 萬美元賠償入口

在 Thorchain (RUNE) 因遭受一宗 $10.8M multichain exploit, 而暫停所有網絡活動一天後，基金會啟動了一個 1,000 萬美元的賠償入口，開始向已驗證受害者歸還資金。

這次入侵抽走了分佈在 Bitcoin (BTC)、Ethereum (ETH)、BNB Chain (BNB) 和 Base 上的資金，合共影響 12,847 個錢包。

THORChain 貢獻者如今 believe 這次攻擊可能源自驗證者集本身的內部。團隊在事故更新中表示，證據指向一個新輪換的節點，或與這次攻擊有關。調查人員懷疑，攻擊者利用了 THORChain GG20 閾值簽名方案（Threshold Signature Scheme）實作中的缺陷，逐步洩漏足夠的保管庫金鑰物料，從而重建私鑰並授權未經許可的交易。

協議表示，目前的追討方案包括削減受影響驗證者的保證金，以及動用「協議自有流動性」（Protocol-Owned Liquidity）儲備吸收損失。雖然 RUNE 轉帳或可在臨時暫停結束後恢復，但交易、流動性池操作和其他敏感操作將會繼續暫停，直至網絡敲定更全面的補救方案。

攻擊如何發生

這次攻擊瞄準了 Thorchain 的跨鏈流動性路由層。Thorchain 作為一個去中心化跨鏈兌換協議，讓用戶可以在不依賴封裝代幣或橋的情況下，直接兌換原生資產，包括 BTC、ETH 和 BNB。

協議在每條支援的鏈上，都透過網絡控制的保管庫持有流動性。攻擊者發現了路由邏輯中的一個漏洞，並同時從四條網絡上的保管庫抽走資金。攻擊的多鏈特性，正是令損失總額超過 1,000 萬美元門檻的關鍵，沒有任何一條鏈單獨承受全部損失。

Thorchain 的營運團隊在偵測到異常資金外流後，隨即暫停所有交易。這項停機措施防止進一步被利用，但同時亦在調查期間凍結了用戶合法資金。

Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery

賠償入口

Thorchain 基金會宣佈推出 1,000 萬美元的賠償入口，涵蓋四條鏈上 12,847 個受影響錢包。受害者必須先驗證錢包擁有權，申索才會被處理。與即時空投相比，採用入口申請方式可降低詐騙申索風險，並讓團隊得以將鏈上數據與攻擊中涉及的特定交易簽名進行交叉比對。

這個 1,000 萬美元池並不能完全覆蓋被抽走的 1,080 萬美元，仍有 80 萬美元差額未在公開層面交代。基金會尚未確認會否再從庫房、未來代幣發售，或針對攻擊者錢包的持續追討行動中，補足這筆資金。

Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?

背景

Thorchain 過往亦曾多次遭到攻擊。該協議在 2021 年夏季曾兩度被攻擊，一次損失約 500 萬美元，另一次約 800 萬美元。兩次事故均被追溯到 Bifrost 模組的漏洞——這個模組負責 Thorchain 主網與外部鏈之間的通訊。

當時，團隊選擇暫停網絡，並動用社群資金彌補損失，從而為動用庫房資源賠償受害者建立了先例。2021 年的做法，正與基金會目前採取的模式相呼應。

在那些事故之後的數年，Thorchain 接受了多輪安全審計，並以修訂後的保管庫架構重新上線。這次 2026 年的攻擊顯示，即使歷經多次審計，跨鏈路由依然是去中心化金融安全領域中最棘手的難題之一。

Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected

跨鏈 DeFi 中的協議風險

Thorchain 的架構本質上比單鏈協議複雜得多。每增加一條支援的區塊鏈，都會擴大攻擊面。該協議目前支援逾十條鏈，每次整合都需要自訂的保管庫邏輯與一個 Bifrost 連接器。

任一連接器中的漏洞，只要路由層未能有效隔離損害，就有可能暴露所有相關保管庫的資產餘額。這正是原生跨鏈設計的核心取捨。舊式協議常用的封裝代幣橋，將各鏈的特定風險集中在橋合約本身；Thorchain 的原生路線雖然消除了封裝代幤風險，卻將路由風險集中在自家程式碼中。

安全研究人員指出，任何管理超過 5 億美元鎖倉總值（TVL）的跨鏈協議，都需要持續性的對抗式測試，而非僅依賴定期第三方審計。在本次暫停前，Thorchain 的 TVL 已達到這一級別。

Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump

接下來會如何發展

網絡暫停將持續到基金會確認漏洞已被修補為止，目前尚未公佈重啟時間表。賠償入口將與安全審查並行運作。一旦修補程式獲至少兩家獨立審計機構驗證，RUNE 質押者之間很可能會發起一次治理投票，以決定何時恢復交易。

這個過程可能需時數天至數週，視乎修補複雜程度而定。受影響用戶應密切留意 Thorchain 官方渠道，了解如何進入賠償入口以及申索截止時間。

Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit