Thorchain taper nesten 11 millioner dollar etter at angripere forgifter vault-churn-prosessen på tvers av 4 kjeder

Thorchain-midler kompromittert

Onchain-etterforsker ZachXBT varslet først om hendelsen via Telegram-kanalen sin, og anslo de innledende tapene til over 7,4 millioner dollar før reviderte estimater løftet totalen. Bruddet rammet hvelv på Bitcoin, Ethereum, BNB Smart Chain og Base.

Angrepsmetoden var sentrert rundt en vault churn, en standard Thorchain-prosess der node-operatører roterer inn og ut mens eiendeler omfordeles ved bruk av terskelsignaturordninger. Angriperne ser ut til å ha injisert ondsinnede adresser inn i denne prosessen, og lurt systemet til å autorisere overføringer det ikke skulle ha godkjent.

Stjålne eiendeler inkluderer omtrent 3 443 ETH verdsatt til 7,77 millioner dollar, 36,85 BTC verdt omtrent 2,97 millioner dollar, 96,6 BNB verdt rundt 66 000 dollar, samt flere tokens, inkludert tidlige rapporter om 798 000 USDC. Tre tyveriadresser ble offentlig flagget på tvers av Bitcoin og Ethereum for sporing av sikkerhetsfirmaer.

Node-operatører reagerte raskt ved å utløse Thorchains desentraliserte globale nødstop gjennom protokollens Mimir-styringsinnstillinger. Stansen suspenderte swaps, vault churning og signering på berørte kjeder fra rundt blokk 26190429. RUNE-transaksjoner på den native kjeden fortsatte i begrenset kapasitet.

RUNE, Thorchains native token, falt 12 til 15 % i løpet av få timer etter ZachXBTs varsel. Tokenet falt fra rundt 0,58 dollar til omtrent 0,50 dollar på tvers av de største børsene. Likviditetsleverandører og brukere avventer mens sikkerhetsfirmaer, inkludert Peckshield og Cyvers, overvåker de flaggede adressene.

På tidspunktet dette skrives hadde @Thorchain-kontoen på X ikke publisert noe offentlig om exploiten. Ingen offisiell post-mortem er publisert, og midlene på de identifiserte adressene ser i stor grad ut til å ligge urørt.

Thorchain har tidligere blitt utsatt for angrep på protokollnivå. I juli 2021 tappet flere exploits rettet mot ETH-routeren mellom 4,9 millioner og 8 millioner dollar. Teamet dekket tapene fra kassen og satte protokollen på pause for å implementere feilrettinger. Denne aktuelle exploiten følger en annen trusselprofil, men treffer et kjent svakt punkt: hvelvmigreringsprosessen.

Protokollens arkitektur ble bygget for å unngå sentraliserte feilkilder. Den kjører mer enn 90 desentraliserte noder, har ingen enkelt admin-nøkkel og unngår wrapped assets. Det designet har stått imot enkelte angrepstyper, men churn-prosessen er nå identifisert som en utnyttbar angrepsflate.

Thorchain fikk også oppmerksomhet i 2025 og tidlig 2026 som en kanal for midler knyttet til Bybit-hacken, tilskrevet Lazarus Group med tap nær 1,4 milliarder dollar, samt KelpDAO-hendelsen som involverte mer enn 175 millioner dollar i ETH-til-BTC-swaps. Disse flytene genererte gebyrer for protokollen, men utløste kritikk fra compliance- og sikkerhetsforskere.

Dette er en sak under utvikling. Etterforskningen pågår, og likviditetsleverandører bør unngå å samhandle med protokollen til handelen gjenopptas og alle detaljer er bekreftet. En detaljert post-mortem fra Thorchains node-operatører forventes når situasjonen stabiliserer seg.

Oppdateringer vil bli publisert på Thorchains dokumentasjonssider, @Thorchain-kontoen på X og Midgard API etter hvert som de blir tilgjengelige.