Thorchain verliert fast 11 Millionen Dollar, da Angreifer den Churn-Prozess von Vaults über vier Blockchains hinweg manipulieren

Thorchain-Gelder kompromittiert

Der On-Chain-Ermittler ZachXBT machte erstmals über seinen Telegram-Kanal auf den Vorfall aufmerksam und bezifferte die anfänglichen Verluste auf über 7,4 Millionen US-Dollar, bevor revidierte Schätzungen die Gesamtsumme nach oben korrigierten. Der Angriff betraf Tresore auf Bitcoin, Ethereum, BNB Smart Chain und Base.

Die Angriffsmethode basierte auf einem „Vault Churn“, einem Standardprozess bei Thorchain, bei dem Knotenbetreiber rotieren, während Vermögenswerte mithilfe von Schwellenwert-Signaturschemata neu verteilt werden. Die Angreifer scheinen bösartige Adressen in diesen Prozess eingeschleust zu haben und das System so ausgetrickst zu haben, dass es Übertragungen autorisierte, die es nicht hätte genehmigen dürfen.

Zu den gestohlenen Vermögenswerten gehören rund 3.443 ETH im Wert von 7,77 Millionen US-Dollar, 36,85 BTC im Wert von etwa 2,97 Millionen US-Dollar, 96,6 BNB im Wert von rund 66.000 US-Dollar sowie weitere Token, darunter laut ersten Berichten 798.000 USDC. Drei Diebstahladressen wurden auf Bitcoin und Ethereum öffentlich markiert, damit sie von Sicherheitsfirmen verfolgt werden können.

Knotenbetreiber reagierten schnell, indem sie Thorchains dezentralen globalen Notfallstopp über die Mimir-Governance-Einstellungen des Protokolls auslösten. Der Stopp unterbrach Swaps, Vault-Churning und Signierungen auf den betroffenen Ketten ab etwa Block 26190429. RUNE-Transaktionen auf der nativen Kette wurden in begrenztem Umfang fortgesetzt.

RUNE, der native Token von Thorchain, fiel innerhalb weniger Stunden nach der Warnung von ZachXBT um 12 bis 15 %. Der Token fiel an den großen Börsen von rund 0,58 USD auf etwa 0,50 USD. Liquiditätsanbieter und Nutzer halten sich weiterhin zurück, während Sicherheitsfirmen, darunter Peckshield und Cyvers, die markierten Adressen überwachen.

Zum Zeitpunkt der Erstellung dieses Artikels hatte der @Thorchain-Account auf X noch keinen öffentlichen Beitrag zu dem Exploit veröffentlicht. Es wurde keine offizielle Nachbetrachtung veröffentlicht, und die Gelder an den identifizierten Adressen scheinen weitgehend ungenutzt zu sein. Thorchain war bereits zuvor mit Angriffen auf Protokollebene konfrontiert. Im Juli 2021 wurden durch mehrere Exploits, die auf den ETH-Router abzielten, zwischen 4,9 und 8 Millionen US-Dollar abgezogen. Das Team deckte die Verluste aus der Kasse und setzte das Protokoll für Korrekturen aus. Der aktuelle Exploit folgt einem anderen Bedrohungsprofil, trifft jedoch eine bekannte Schwachstelle: den Vault-Migrationsprozess. Die Architektur des Protokolls wurde entwickelt, um zentralisierte Ausfallpunkte zu vermeiden. Es betreibt mehr als 90 dezentrale Knoten, verfügt über keinen einzigen Admin-Schlüssel und vermeidet Wrapped Assets. Dieses Design hat sich gegen bestimmte Angriffstypen bewährt, doch der Churn-Prozess wurde nun als ausnutzbare Schwachstelle identifiziert.

Thorchain erregte zudem im Jahr 2025 und Anfang 2026 Aufmerksamkeit als Durchgangsstation für Gelder im Zusammenhang mit dem Bybit-Hack, der der Lazarus-Gruppe zugeschrieben wird und Verluste in Höhe von fast 1,4 Milliarden US-Dollar verursachte, sowie dem KelpDAO-Vorfall, bei dem es um ETH-zu-BTC-Swaps im Wert von mehr als 175 Millionen US-Dollar ging. Diese Geldströme generierten Gebühren für das Protokoll, zogen jedoch Kritik von Compliance- und Sicherheitsforschern nach sich.

Dies ist eine sich entwickelnde Geschichte. Die Untersuchungen laufen noch, und Liquiditätsanbieter sollten den Umgang mit dem Protokoll vermeiden, bis der Handel wieder aufgenommen wird und alle Details bestätigt sind. Eine detaillierte Nachbetrachtung durch die Knotenbetreiber von Thorchain wird erwartet, sobald sich die Lage stabilisiert hat. Aktualisierungen werden auf den Dokumentationsseiten von Thorchain, dem @Thorchain X-Konto und der Midgard-API veröffentlicht, sobald sie verfügbar sind.