Thorchain lijdt een verlies van bijna 11 miljoen dollar doordat aanvallers het ‘vault churn’-proces op vier blockchains hebben gemanipuleerd

Thorchain-fondsen gecompromitteerd

Onchain-onderzoeker ZachXBT bracht het incident als eerste onder de aandacht via zijn Telegram-kanaal, waarbij hij de initiële verliezen op meer dan $ 7,4 miljoen schatte, voordat herziene schattingen het totaal nog hoger deden uitkomen. De inbreuk trof kluizen op Bitcoin, Ethereum, BNB Smart Chain en Base.

De aanvalsmethode was gericht op een 'vault churn', een standaardproces van Thorchain waarbij node-operators in- en uitrotteren terwijl activa worden herverdeeld met behulp van drempelhandtekeningschema's. Aanvallers lijken kwaadaardige adressen in dat proces te hebben geïnjecteerd, waardoor het systeem werd misleid om overboekingen goed te keuren die het niet had mogen goedkeuren.

Tot de gestolen activa behoren ongeveer 3.443 ETH ter waarde van 7,77 miljoen dollar, 36,85 BTC ter waarde van ongeveer 2,97 miljoen dollar, 96,6 BNB ter waarde van ongeveer 66.000 dollar en aanvullende tokens, waaronder volgens vroege rapporten 798.000 USDC. Drie diefstaladressen werden openbaar gemarkeerd op Bitcoin en Ethereum, zodat beveiligingsbedrijven ze konden volgen.

Node-operators reageerden snel door Thorchain's gedecentraliseerde wereldwijde noodstop in te schakelen via de Mimir-governance-instellingen van het protocol. De stop zette swaps, vault churning en het ondertekenen op de getroffen chains op pauze vanaf ongeveer blok 26190429. RUNE-transacties op de native chain gingen in beperkte mate door.

RUNE, het native token van Thorchain, daalde binnen enkele uren na de waarschuwing van ZachXBT met 12 tot 15%. Het token daalde van ongeveer $ 0,58 naar ongeveer $ 0,50 op de belangrijkste beurzen. Liquiditeitsverschaffers en gebruikers blijven in afwachting terwijl beveiligingsbedrijven, waaronder Peckshield en Cyvers, de gemarkeerde adressen monitoren.

Op het moment van schrijven had het @Thorchain-account op X nog geen openbare berichten over de exploit geplaatst. Er is geen officiële analyse achteraf vrijgegeven en de fondsen op de geïdentificeerde adressen lijken grotendeels inactief.

Thorchain heeft eerder te maken gehad met aanvallen op protocolniveau. In juli 2021 werd door meerdere exploits gericht op de ETH-router tussen de $ 4,9 miljoen en $ 8 miljoen weggehaald. Het team dekte de verliezen uit de schatkist en zette het protocol stil voor reparaties. Deze huidige exploit volgt een ander dreigingsprofiel, maar raakt een bekend zwak punt: het migratieproces van de kluis.

De architectuur van het protocol is gebouwd om gecentraliseerde storingspunten te vermijden. Het draait op meer dan 90 gedecentraliseerde knooppunten, bezit geen enkele beheerderssleutel en vermijdt 'wrapped assets'. Dat ontwerp heeft standgehouden tegen bepaalde soorten aanvallen, maar het churn-proces is nu geïdentificeerd als een kwetsbaar punt.

Thorchain trok ook de aandacht in 2025 en begin 2026 als doorgang voor fondsen die verband hielden met de Bybit-hack, toegeschreven aan de Lazarus Group met verliezen van bijna 1,4 miljard dollar, en het KelpDAO-incident waarbij meer dan 175 miljoen dollar aan ETH-naar-BTC-swaps betrokken was. Die geldstromen genereerden vergoedingen voor het protocol, maar leidden tot kritiek van compliance- en beveiligingsonderzoekers.

Dit is een zich ontwikkelend verhaal. Het onderzoek loopt nog en liquiditeitsverschaffers moeten interactie met het protocol vermijden totdat de handel wordt hervat en alle details zijn bevestigd. Een gedetailleerde analyse door de node-operators van Thorchain wordt verwacht zodra de situatie zich stabiliseert.
Updates zullen verschijnen op de documentatiepagina's van Thorchain, het @Thorchain X-account en de Midgard API zodra deze beschikbaar zijn.