Thorchain Kehilangan Hampir $11 Juta Akibat Para Penyerang Memanipulasi Proses Perputaran Dana di Empat Jaringan

Dana Thorchain Terkompromi

Peneliti on-chain ZachXBT pertama kali mengungkap insiden ini melalui saluran Telegram-nya, dengan perkiraan kerugian awal di atas $7,4 juta sebelum perkiraan revisi menaikkan totalnya. Serangan tersebut menargetkan vault di Bitcoin, Ethereum, BNB Smart Chain, dan Base.

Metode serangan berpusat pada proses "vault churn", sebuah prosedur standar Thorchain di mana operator node bergantian masuk dan keluar sementara aset didistribusikan ulang menggunakan skema tanda tangan ambang batas. Penyerang tampaknya telah menyisipkan alamat jahat ke dalam proses tersebut, menipu sistem agar menyetujui transfer yang seharusnya tidak disetujui.

Aset yang dicuri meliputi sekitar 3.443 ETH senilai $7,77 juta, 36,85 BTC senilai sekitar $2,97 juta, 96,6 BNB senilai sekitar $66.000, serta token tambahan, termasuk laporan awal mengenai 798.000 USDC. Tiga alamat pencurian telah ditandai secara publik di Bitcoin dan Ethereum untuk dilacak oleh perusahaan keamanan.

Operator node merespons dengan cepat dengan memicu penghentian darurat global terdesentralisasi Thorchain melalui pengaturan tata kelola Mimir protokol. Penghentian tersebut menangguhkan pertukaran, pengolahan vault, dan penandatanganan di rantai yang terpengaruh mulai sekitar blok 26190429. Transaksi RUNE di rantai asli tetap berlanjut dengan kapasitas terbatas.

RUNE, token asli Thorchain, turun 12 hingga 15% dalam hitungan jam setelah peringatan ZachXBT. Token tersebut turun dari sekitar $0,58 menjadi sekitar $0,50 di bursa-bursa utama. Penyedia likuiditas dan pengguna tetap dalam status penundaan sementara firma keamanan, termasuk Peckshield dan Cyvers, memantau alamat-alamat yang ditandai.

Sampai saat penulisan, akun @Thorchain di X belum memposting secara publik mengenai eksploitasi ini. Belum ada laporan post-mortem resmi yang dirilis, dan dana di alamat-alamat yang teridentifikasi tampaknya sebagian besar tidak aktif.

Thorchain sebelumnya pernah menghadapi serangan tingkat protokol. Pada Juli 2021, beberapa eksploitasi yang menargetkan router ETH menguras dana antara $4,9 juta hingga $8 juta. Tim menanggung kerugian dari kas dan menghentikan sementara protokol untuk perbaikan. Eksploitasi saat ini memiliki profil ancaman yang berbeda tetapi menyerang titik lemah yang sudah dikenal: proses migrasi vault.<
<
Arsitektur protokol dirancang untuk menghindari titik kegagalan terpusat. Protokol ini mengoperasikan lebih dari 90 node terdesentralisasi, tidak menyimpan kunci admin tunggal, dan menghindari aset yang dibungkus. Desain tersebut telah bertahan melawan jenis serangan tertentu, tetapi proses migrasi kini diidentifikasi sebagai area yang rentan dieksploitasi.

Thorchain juga menjadi sorotan pada tahun 2025 dan awal 2026 sebagai jalur aliran dana terkait peretasan Bybit—yang dikaitkan dengan Kelompok Lazarus dengan kerugian mendekati $1,4 miliar—serta insiden KelpDAO yang melibatkan lebih dari $175 juta dalam pertukaran ETH ke BTC. Aliran dana tersebut menghasilkan biaya bagi protokol, namun menuai kritik dari peneliti kepatuhan dan keamanan.

Ini adalah perkembangan terkini. Penyelidikan masih berlangsung, dan penyedia likuiditas disarankan untuk menghindari interaksi dengan protokol hingga perdagangan dilanjutkan dan rincian lengkap dikonfirmasi. Laporan post-mortem terperinci dari operator node Thorchain diharapkan akan dirilis setelah situasi stabil.

Pembaruan akan ditampilkan di halaman dokumentasi Thorchain, akun @Thorchain di X, dan Midgard API seiring ketersediaannya.