Thorchainは、4つのチェーンにわたるVaultのチャーン処理を攻撃者に改ざんされ、約1,100万ドルの損失を被りました。

Thorchainの資金が侵害される

オンチェーン調査員のZachXBTが自身のTelegramチャンネルを通じてこのインシデントを最初に報告し、当初の損失額は740万ドル以上とされていたが、推定値の修正により総額はさらに増加した。この侵害は、ビットコイン、イーサリアム、BNBスマートチェーン、およびBase上のボールトを標的とした。

攻撃は「Vault Churn（金庫の入れ替え）」と呼ばれるプロセスに焦点を当てたものでした。これは、閾値署名方式を用いて資産を再配分する際にノードオペレーターが入れ替わる、Thorchainの標準的な手順です。攻撃者はこのプロセスに悪意のあるアドレスを注入し、本来承認されるべきではない送金をシステムに許可させるように仕向けたようです。

盗まれた資産には、約777万ドル相当のETH 3,443枚、約297万ドル相当のBTC 36.85枚、約6万6,000ドル相当のBNB 96.6枚、およびその他のトークンが含まれており、初期報告では79万8,000USDCも含まれていたとされる。セキュリティ企業による追跡のため、ビットコインとイーサリアム上で3つの盗難アドレスが公開された。

ノードオペレーターは迅速に対応し、プロトコルのMimirガバナンス設定を通じてThorchainの分散型グローバル緊急停止を発動しました。この停止措置により、ブロック26190429の前後から影響を受けたチェーン上でのスワップ、ヴォールトのチャーン、署名処理が一時停止されました。ネイティブチェーン上のRUNE取引は限定的な機能で継続されました。

RUNEはZachXBTの警告から数時間以内に12～15％下落し、主要取引所では0.58ドルから0.50ドルまで値下がりしました。PeckshieldやCyversなどのセキュリティ企業がアドレスを監視する中、流動性プロバイダーやユーザーは依然として待機状態にあります。

本稿執筆時点で、X（旧Twitter）の@Thorchainアカウントは本件の脆弱性について公に投稿していません。公式な事後分析も発表されておらず、特定されたアドレス内の資金はおおむね静止状態にあります。 Thorchainは以前にもプロトコルレベルの攻撃を受けたことがあります。2021年7月には、ETHルーターを標的とした複数の攻撃により、490万ドルから800万ドルが流出した経緯があります。 チームはトレジャリーから損失を補填し、修正のためプロトコルの運用を一時停止しました。今回のエクスプロイトは脅威のプロファイルは異なりますが、おなじみの弱点である「ヴォールト移行プロセス」を突いています。このプロトコルのアーキテクチャは、中央集権的な障害点を回避するように構築されています。90以上の分散型ノードを稼働させ、単一の管理キーを保持せず、ラップド資産も使用していません。この設計は特定の攻撃タイプに対しては耐えてきましたが、今回のチャーンプロセスが攻撃対象となり得る脆弱性として特定されました。

Thorchainは2025年および2026年初頭にも、ラザルス・グループによる約14億ドルの被害をもたらしたBybitハッキング事件や、1億7500万ドル以上のETH-BTCスワップが関与したKelpDAO事件に関連する資金の通過点として注目を集めました。これらの資金の流れはプロトコルに手数料をもたらしましたが、コンプライアンスおよびセキュリティ研究者から批判を浴びました。

本件は現在も進展中の事態です。調査は継続中であり、取引が再開され、詳細が完全に確認されるまでは、流動性プロバイダーは本プロトコルとのやり取りを控えるべきです。状況が安定次第、Thorchainのノードオペレーターによる詳細な事後分析が公開される見込みです。 最新情報は、Thorchainのドキュメントページ、@ThorchainのXアカウント、およびMidgard APIにて、入手次第公開されます。