Thorchain přišel o téměř 11 milionů dolarů, když útočníci narušili proces obměny v trezoru napříč čtyřmi řetězci

Ohrožené prostředky Thorchain

Vyšetřovatel on-chainových transakcí ZachXBT jako první upozornil na incident prostřednictvím svého kanálu na Telegramu, přičemž původní ztráty odhadl na více než 7,4 milionu dolarů, než revidované odhady celkovou částku zvýšily. Útok zasáhl trezory na platformách Bitcoin, Ethereum, BNB Smart Chain a Base.

Metoda útoku se soustředila na „vault churn“, což je standardní proces Thorchainu, při kterém se provozovatelé uzlů střídají a aktiva se přerozdělují pomocí schémat prahových podpisů. Útočníci zřejmě do tohoto procesu vložili škodlivé adresy a oklamali systém, aby autorizoval převody, které neměl schválit.

Mezi ukradená aktiva patří přibližně 3 443 ETH v hodnotě 7,77 milionu dolarů, 36,85 BTC v hodnotě přibližně 2,97 milionu dolarů, 96,6 BNB v hodnotě kolem 66 000 dolarů a další tokeny, včetně prvních zpráv o 798 000 USDC. Tři adresy, ze kterých došlo ke krádeži, byly veřejně označeny v sítích Bitcoin a Ethereum, aby je mohly bezpečnostní firmy sledovat.

Provozovatelé uzlů rychle zareagovali spuštěním decentralizovaného globálního nouzového zastavení Thorchainu prostřednictvím nastavení správy protokolu Mimir. Zastavení pozastavilo swapy, churning trezorů a podepisování na postižených řetězcích počínaje blokem 26190429. Transakce RUNE na nativním řetězci pokračovaly v omezené kapacitě.

RUNE, nativní token Thorchainu, klesl o 12 až 15 % během několika hodin po varování ZachXBT. Token klesl z přibližně 0,58 USD na zhruba 0,50 USD na hlavních burzách. Poskytovatelé likvidity a uživatelé zůstávají v pohotovosti, zatímco bezpečnostní firmy, včetně Peckshield a Cyvers, monitorují označené adresy.

V době psaní tohoto článku účet @Thorchain na X o této zranitelnosti veřejně neinformoval. Nebyla zveřejněna žádná oficiální analýza incidentu a prostředky na identifikovaných adresách se zdají být z velké části neaktivní.

Thorchain již v minulosti čelil útokům na úrovni protokolu. V červenci 2021 bylo v důsledku několika útoků zaměřených na ETH router odcizeno mezi 4,9 a 8 miliony dolarů. Tým pokryla ztráty z pokladny a pozastavila protokol za účelem oprav. Tento aktuální exploit má odlišný profil hrozby, ale zasahuje známé slabé místo: proces migrace trezoru.

Architektura protokolu byla postavena tak, aby se vyhnula centralizovaným bodům selhání. Provozuje více než 90 decentralizovaných uzlů, nedrží žádný jediný administrátorský klíč a vyhýbá se zabaleným aktivům. Tento design odolal určitým typům útoků, ale proces migrace byl nyní identifikován jako zranitelné místo.

Thorchain také upoutal pozornost v roce 2025 a na počátku roku 2026 jako průchod pro prostředky spojené s hackem Bybit, připisovaným skupině Lazarus Group se ztrátami blížícími se 1,4 miliardám dolarů, a incidentem KelpDAO zahrnujícím více než 175 milionů dolarů ve swapech ETH-to-BTC. Tyto toky generovaly poplatky pro protokol, ale vyvolaly kritiku ze strany výzkumníků v oblasti compliance a bezpečnosti.

Jedná se o rozvíjející se příběh. Vyšetřování stále probíhá a poskytovatelé likvidity by se měli vyhnout interakci s protokolem, dokud nebude obnoveno obchodování a nebudou potvrzeny všechny podrobnosti. Jakmile se situace stabilizuje, očekává se podrobná analýza od provozovatelů uzlů Thorchainu.

Aktualizace se budou objevovat na dokumentačních stránkách Thorchainu, účtu @Thorchain na X a v Midgard API, jakmile budou k dispozici.