Thorchain mister næsten 11 millioner dollar, da hackere forstyrrer »vault churn«-processen på fire blokkæder

Thorchain-midler kompromitteret

Onchain-efterforskeren ZachXBT gjorde først opmærksom på hændelsen via sin Telegram-kanal og anslog de indledende tab til over 7,4 millioner dollars, inden reviderede skøn skubbede det samlede beløb højere op. Bruddet ramte vaults på Bitcoin, Ethereum, BNB Smart Chain og Base.

Angrebsmetoden centrerede sig om en vault-churn, en standardproces i Thorchain, hvor nodeoperatører skifter ind og ud, mens aktiver omfordeles ved hjælp af tærskelsignaturordninger. Angriberne ser ud til at have indsat ondsindede adresser i denne proces og dermed narret systemet til at godkende overførsler, som det ikke burde have godkendt.

De stjålne aktiver omfatter ca. 3.443 ETH til en værdi af 7,77 millioner dollars, 36,85 BTC til en værdi af ca. 2,97 millioner dollars, 96,6 BNB til en værdi af ca. 66.000 dollars samt yderligere tokens, herunder tidlige rapporter om 798.000 USDC. Tre tyveriadresser blev offentligt markeret på tværs af Bitcoin og Ethereum med henblik på sporing af sikkerhedsfirmaer.

Nodeoperatører reagerede hurtigt ved at udløse Thorchains decentraliserede globale nødstop via protokollens Mimir-styringsindstillinger. Stoppet suspenderede swaps, vault churning og signering på berørte kæder fra omkring blok 26190429. RUNE-transaktioner på den native kæde fortsatte i begrænset omfang.

RUNE, Thorchains native token, faldt 12 til 15 % inden for få timer efter ZachXBT's advarsel. Token faldt fra omkring 0,58 USD til cirka 0,50 USD på de største børser. Likviditetsudbydere og brugere afventer, mens sikkerhedsfirmaer, herunder Peckshield og Cyvers, overvåger de markerede adresser.

På tidspunktet for skrivningen havde @Thorchain-kontoen på X ikke offentliggjort noget om udnyttelsen. Der er ikke offentliggjort nogen officiel efteranalyse, og midlerne på de identificerede adresser synes stort set at være inaktive.

Thorchain har tidligere været udsat for angreb på protokolniveau. I juli 2021 drænede flere udnyttelser rettet mod ETH-routeren mellem 4,9 og 8 millioner dollars. Teamet dækkede tabene fra kassen og satte protokollen på pause for at udbedre fejlene. Den aktuelle udnyttelse følger en anden trusselsprofil, men rammer et velkendt svagt punkt: processen med at flytte pengeskabet.
Protokollens arkitektur blev bygget for at undgå centraliserede svagheder. Den kører mere end 90 decentraliserede noder, har ingen enkelt administratornøgle og undgår indpakkede aktiver. Det design har holdt stand mod visse angrebstyper, men overførselsprocessen er nu blevet identificeret som et område, der kan udnyttes.

Thorchain vakte også opmærksomhed i 2025 og begyndelsen af 2026 som en passage for midler forbundet med Bybit-hacket, der tilskrives Lazarus Group med tab på næsten 1,4 milliarder dollars, og KelpDAO-hændelsen, der involverede mere end 175 millioner dollars i ETH-til-BTC-swaps. Disse strømme genererede gebyrer for protokollen, men vakte kritik fra compliance- og sikkerhedsforskere.

Dette er en udviklende historie. Undersøgelserne er stadig i gang, og likviditetsudbydere bør undgå at interagere med protokollen, indtil handlen genoptages, og alle detaljer er bekræftet. En detaljeret efteranalyse fra Thorchains nodeoperatører forventes, når situationen stabiliserer sig.

Opdateringer vil blive offentliggjort på Thorchains dokumentationssider, @Thorchain X-kontoen og Midgard API, når de bliver tilgængelige.