ثورچین نزدیک به ۱۱ میلیون دلار از دست داد؛ مهاجمان فرآیند چِرنِ والت را در ۴ بلاک‌چین مسموم کردند

وجوه ثورچین به خطر افتاد

محقق آن‌چین، ZachXBT، ابتدا این رویداد را از طریق کانال تلگرام خود گزارش کرد و زیان‌های اولیه را بیش از ۷.۴ میلیون دلار اعلام کرد؛ اما پس از بازبینی برآوردها، رقم کل بالاتر رفت. این رخنه خزانه‌ها را در بیت‌کوین، اتریوم، زنجیره هوشمند BNB و Base هدف قرار داد.

روش حمله حول محور «چرخش خزانه» بود؛ فرآیندی استاندارد در ثورچین که طی آن اپراتورهای نود به‌صورت چرخشی وارد و خارج می‌شوند و هم‌زمان دارایی‌ها با استفاده از طرح‌های امضای آستانه‌ای (threshold signature) بازتوزیع می‌گردند. به نظر می‌رسد مهاجمان آدرس‌های مخرب را به این فرآیند تزریق کرده‌اند و سیستم را فریب داده‌اند تا انتقال‌هایی را مجاز کند که نباید تأیید می‌شدند.

دارایی‌های سرقت‌شده شامل حدود ۳,۴۴۳ ETH به ارزش ۷.۷۷ میلیون دلار، ۳۶.۸۵ BTC به ارزش تقریبی ۲.۹۷ میلیون دلار، ۹۶.۶ BNB به ارزش حدود ۶۶ هزار دلار و توکن‌های اضافی است؛ از جمله گزارش‌های اولیه درباره ۷۹۸,۰۰۰ USDC. سه آدرس سرقت در بیت‌کوین و اتریوم به‌صورت عمومی برای ردیابی توسط شرکت‌های امنیتی علامت‌گذاری شدند.

اپراتورهای نود با فعال‌کردن توقف اضطراری سراسری و غیرمتمرکز ثورچین از طریق تنظیمات حاکمیتی Mimir پروتکل، به‌سرعت واکنش نشان دادند. این توقف، سواپ‌ها، چرخش خزانه و امضاکردن روی زنجیره‌های تحت‌تأثیر را از حوالی بلاک 26190429 معلق کرد. تراکنش‌های RUNE روی زنجیره بومی همچنان با ظرفیت محدود ادامه یافت.

RUNE، توکن بومی ثورچین، ظرف چند ساعت پس از هشدار ZachXBT بین ۱۲ تا ۱۵٪ افت کرد. این توکن در صرافی‌های بزرگ از حدود ۰.۵۸ دلار به حدود ۰.۵۰ دلار کاهش یافت. تأمین‌کنندگان نقدینگی و کاربران در وضعیت انتظار باقی مانده‌اند، در حالی که شرکت‌های امنیتی از جمله Peckshield و Cyvers آدرس‌های علامت‌گذاری‌شده را زیر نظر دارند.

تا زمان نگارش این مطلب، حساب @Thorchain در X به‌صورت عمومی درباره این سوءاستفاده پستی منتشر نکرده بود. هیچ گزارش کالبدشکافی رسمی منتشر نشده و به نظر می‌رسد وجوه در آدرس‌های شناسایی‌شده عمدتاً بدون فعالیت مانده‌اند.

ثورچین پیش‌تر نیز با حملات در سطح پروتکل مواجه بوده است. در ژوئیه ۲۰۲۱، چندین سوءاستفاده که روتر ETH را هدف قرار داد، بین ۴.۹ میلیون تا ۸ میلیون دلار را خارج کرد. تیم خسارت‌ها را از خزانه پوشش داد و برای اعمال اصلاحات، پروتکل را متوقف کرد. این سوءاستفاده اخیر با پروفایل تهدید متفاوتی همراه است، اما همان نقطه‌ضعف آشنا را هدف می‌گیرد: فرآیند مهاجرت خزانه.

معماری پروتکل برای اجتناب از نقاط شکست متمرکز طراحی شده است. این سامانه بیش از ۹۰ نود غیرمتمرکز را اجرا می‌کند، هیچ کلید مدیریتی واحدی ندارد و از دارایی‌های رپ‌شده (wrapped) اجتناب می‌کند. این طراحی در برابر برخی انواع حمله مقاومت کرده است، اما اکنون فرآیند churn به‌عنوان سطحی قابل سوءاستفاده شناسایی شده است.

ثورچین همچنین در سال ۲۰۲۵ و اوایل ۲۰۲۶ به‌عنوان مسیری برای وجوه مرتبط با هک Bybit مورد توجه قرار گرفت؛ هکی که به گروه لازاروس نسبت داده می‌شود و زیان‌هایی نزدیک به ۱.۴ میلیارد دلار داشته است، و نیز رویداد KelpDAO که شامل بیش از ۱۷۵ میلیون دلار سواپ ETH به BTC بود. این جریان‌ها برای پروتکل کارمزد ایجاد کردند، اما انتقادهایی را از سوی پژوهشگران انطباق و امنیت برانگیختند.

این یک خبر در حال توسعه است. تحقیقات همچنان فعال است و تأمین‌کنندگان نقدینگی باید تا زمان ازسرگیری معاملات و تأیید جزئیات کامل، از تعامل با پروتکل خودداری کنند. انتظار می‌رود پس از تثبیت شرایط، گزارش کالبدشکافی مفصلی از سوی اپراتورهای نود ثورچین منتشر شود.

به‌روزرسانی‌ها به‌محض در دسترس قرار گرفتن، در صفحات مستندات ثورچین، حساب @Thorchain در X و API میدگارد (Midgard) منتشر خواهد شد.