Thorchain 遭多鏈攻擊致四大網絡資金被盜後 開啟 1,000 萬美元賠償入口

在 Thorchain（RUNE）因遭遇一場 1,080 萬美元的多鏈攻擊 被迫暫停所有網絡活動的一天後，基金會啟動了一個 1,000 萬美元的賠償入口，開始向已核實身份的受害者歸還資金。

這次攻擊從 Bitcoin（BTC）、Ethereum（ETH）、BNB Chain（BNB）以及 Base 上的資金庫中抽走資產，合共影響 12,847 個錢包。

THORChain 貢獻者現時 認為，這次漏洞可能源自驗證人集合內部。在事故更新中，團隊表示，證據指向一個新輪替的節點，有可能與攻擊相關。調查人員懷疑，攻擊者利用了 THORChain GG20 閾值簽名方案（Threshold Signature Scheme）實作中的缺陷，逐步洩露足夠的金庫密鑰材料，從而重建私鑰並授權未經允許的交易。

協議表示，目前的追償方案討論包括削減受影響驗證人的質押債券，以及動用協議自有流動性（Protocol-Owned Liquidity）儲備來承擔損失。雖然在暫停期結束後，RUNE 轉帳有機會恢復，但交易、流動性池操作及其他敏感功能將會繼續暫停，直至網絡最終確立更全面的修復計劃。

攻擊是如何發生的

這次攻擊鎖定的是 Thorchain 的跨鏈流動性路由層。Thorchain 作為去中心化跨鏈兌換協議，容許用戶在無需封裝代幣或橋的情況下，直接兌換原生資產，包括 BTC、ETH 和 BNB。

協議在每條支援的鏈上，均透過網絡控制的金庫持有流動性。攻擊者發現了路由邏輯中的一個漏洞，並同時從四條網絡的金庫中提取資金。正是攻擊的「多鏈」特性，令總損失超過 1,000 萬美元門檻，而非由某一條單一鏈獨自承受全部損失。

Thorchain 的運營方在偵測到異常資金外流後，隨即暫停所有交易。這一舉措阻止了進一步被利用，但在調查期間亦凍結了用戶的合法資金操作。

延伸閱讀：Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery

賠償入口

Thorchain 基金會宣佈推出總額 1,000 萬美元的賠償入口，涵蓋四條鏈上共 12,847 個受影響錢包。受害者必須先驗證錢包所有權，申請才會被處理。相較於立即空投，透過入口申請的方式可降低詐騙申領風險，並讓團隊將鏈上數據與本次攻擊中涉及的具體交易簽名進行交叉比對。

這筆 1,000 萬美元的池子，未能覆蓋全部 1,080 萬美元的損失，仍有 80 萬美元缺口尚未公開說明。基金會尚未確認，額外資金會否來自其金庫、未來的代幣銷售，或是持續追討攻擊者錢包資產的回收行動。

延伸閱讀：OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?

背景

Thorchain 過去曾多次遭到攻擊。該協議在 2021 年夏天經歷了兩次重大事故，一次損失約 500 萬美元，另一次約 800 萬美元，兩者皆被歸因於 Bifrost 模組的漏洞——該模組負責 Thorchain 主網與外部鏈之間的通訊。

當時，團隊一度關停網絡，並動用社群資金來彌補損失，奠定了以金庫資源補償受害者的先例。2021 年的這種處理方式，與基金會今天的做法如出一轍。

在那幾次事件之後的數年內，Thorchain 接受了大規模安全審計，並以經過修訂的金庫架構重新上線。這次 2026 年的攻擊顯示，即使經過多輪審計，跨鏈路由仍然是去中心化金融安全領域中最棘手的問題之一。

延伸閱讀：Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected

跨鏈 DeFi 的協議風險

相比單鏈協議，Thorchain 的架構本身就更加複雜。每增加一條支援的區塊鏈，攻擊面便隨之擴大。該協議目前支援逾十條鏈，每一條鏈的整合都需要自訂的金庫邏輯以及一個 Bifrost 連接器。

任一連接器出現缺陷，在路由層未能有效隔離損害的情況下，都可能暴露所有相連金庫的資產餘額。這正是原生跨鏈設計中的核心取捨。傳統協議所使用的封裝代幣橋，將各鏈風險集中在橋合約本身；Thorchain 的原生做法雖然消除了封裝代幣的風險，卻將路由風險集中在自身程式碼之中。

安全研究人員指出，凡是總鎖倉價值（TVL）超過 5 億美元的跨鏈協議，都需要持續的對抗性測試，而不僅是定期的第三方審計。在本次暫停前，Thorchain 的 TVL 就已達到這一級別。

延伸閱讀：BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump

接下來會如何發展

網絡暫停將一直持續，直至基金會確認相關漏洞已被修補。目前尚未公佈重新啟動的時間表。賠償入口會與安全審查工作同時進行。一旦修補程式通過至少兩家獨立審計機構驗證，RUNE 質押者社群預期將舉行治理投票，以決定何時恢復交易。

這一過程可能需要數天，亦可能長達數週，視修復工作的複雜程度而定。受影響用戶應留意 Thorchain 官方渠道，獲取賠償入口的最新指引以及申請截止日期資訊。

下一篇閱讀：Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit