Thorchain 在多鏈攻擊抽乾四條網路後開啟 1,000 萬美元賠償入口

在 Thorchain (RUNE) 因遭遇一場涉及 1,080 萬美元的多鏈攻擊而暫停所有網路活動一天後，基金會啟動了一個 1,000 萬美元的賠償入口，開始向通過驗證的受害者退還資金。

這次入侵事件抽乾了 Bitcoin (BTC)、Ethereum (ETH)、BNB Chain (BNB) 與 Base 上的資金，影響 12,847 個錢包。

THORChain 的貢獻者如今認為，這起攻擊可能源自驗證者集合內部。在事件更新中，團隊表示，證據指向一個新輪換加入的節點，可能與這次攻擊有關。調查人員懷疑，攻擊者利用了 THORChain GG20 門檻簽名方案實作中的缺陷，逐步洩露足夠的金庫金鑰材料，最終重建出私鑰，並對未授權交易進行簽署。

協議方表示，目前的復原討論包括削減受影響驗證者的保證金，並動用協議自有流動性儲備來吸收損失。雖然在暫停期結束後，RUNE 轉帳可能恢復，但交易、流動性池操作以及其他敏感功能仍將保持暫停，直到網路最終敲定更全面的補救方案。

攻擊如何發生

這次攻擊鎖定的是 Thorchain 的跨鏈流動性路由層。Thorchain 作為一個去中心化跨鏈交換協議，允許使用者在不透過包裝代幣或橋的情況下，直接交換 BTC、ETH、BNB 等原生資產。

協議會在每條支援的鏈上，以網路控制的金庫形式持有流動性。攻擊者找出了路由邏輯中的一個漏洞，並同時從四條網路上的金庫中提取資金。正是這種多鏈並行的攻擊方式，讓總損失規模突破 1,000 萬美元門檻，而非由單一鏈承擔全部損害。

在偵測到異常資金外流後，Thorchain 的營運方隨即暫停所有交易。這項停機措施阻止了攻擊繼續擴大，但也在調查期間凍結了正常用戶的資金。

延伸閱讀: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery

賠償入口

Thorchain 基金會宣布啟動 1,000 萬美元的賠償入口，涵蓋四條鏈上受影響的 12,847 個錢包。受害者必須先驗證錢包所有權，索賠才會被處理。相較於直接空投，透過入口進行申請可降低詐欺索賠風險，並讓團隊能將鏈上數據與此次攻擊所涉具體交易簽章逐一比對。

這筆 1,000 萬美元的資金池並未覆蓋全部 1,080 萬美元損失，仍有 80 萬美元缺口尚未公開說明。基金會尚未證實是否會從國庫額外撥款、透過未來代幣銷售，或是透過對攻擊者錢包的持續追討來填補缺口。

Thorchain 過去曾多次遭遇攻擊。2021 年夏季，該協議歷經兩次重大攻擊，一次損失約 500 萬美元，另一次約 800 萬美元。兩起事件都被追溯到 Bifrost 模組中的漏洞，此模組負責 Thorchain 主網與外部鏈之間的通訊。

當時，團隊同樣選擇暫停網路，並動用社群資金來填補損失，建立了以國庫資源補償受害者的先例，而這與基金會目前的處理方式相呼應。

在那些事件之後的幾年裡，Thorchain 接受了多次大型安全審計，並以修訂後的金庫架構重新上線。這起 2026 年的攻擊顯示，即使經過多輪審計，跨鏈路由依然是去中心化金融安全領域中最棘手的問題之一。

延伸閱讀: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected

跨鏈 DeFi 的協議風險

相較於單鏈協議，Thorchain 的架構先天就更為複雜。每新增一條支援的區塊鏈，都會擴大攻擊面。該協議目前支援逾十條區塊鏈，每項整合都需要客製化的金庫邏輯與一個 Bifrost 連接器。

一旦任一連接器存在缺陷，而路由層又無法有效隔離損害，就可能暴露所有相關金庫的資產餘額。這是原生跨鏈設計的核心權衡。較舊協議所使用的包裝代幣橋，將各鏈風險集中在橋合約本身；Thorchain 的原生方案則移除了包裝代幣風險，卻將路由風險集中在自身程式碼之中。

安全研究人員指出，凡是跨鏈協議管理的總鎖倉價值超過 5 億美元，就必須進行持續性的對抗性測試，而不能僅依賴週期性的第三方審計。在此次暫停前，Thorchain 的 TVL 就已落入這個風險級別。

延伸閱讀: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump

網路暫停將持續，直到基金會確認相關漏洞已被修補。目前尚未公布重啟時間表。賠償入口將與安全審查並行運作。一旦修補程式通過至少兩家獨立審計機構驗證，RUNE 質押者的治理投票很可能會決定交易何時恢復。

依修補措施的複雜度不同，整個流程可能耗時數天到數週。受影響的用戶應持續關注 Thorchain 官方管道，以取得賠償入口的使用說明與申請截止日期等資訊。