Thorchain traci prawie 11 mln dolarów w wyniku ataku, w ramach którego hakerzy zakłócili proces wymiany aktywów w skarbcu w czterech łańcuchach

Fundusze Thorchain naruszone

Badacz łańcucha bloków ZachXBT jako pierwszy zgłosił incydent na swoim kanale Telegram, szacując początkowe straty na ponad 7,4 mln dolarów, zanim zrewidowane szacunki podniosły tę kwotę. Naruszenie dotyczyło skarbców na platformach Bitcoin, Ethereum, BNB Smart Chain i Base.

Metoda ataku opierała się na „churnie skarbca”, standardowym procesie Thorchain, w którym operatorzy węzłów zmieniają się, a aktywa są redystrybuowane przy użyciu schematów podpisów progowych. Wygląda na to, że atakujący wstrzyknięli złośliwe adresy do tego procesu, oszukując system, aby autoryzował transfery, których nie powinien był zatwierdzić.

Skradzione aktywa obejmują około 3443 ETH o wartości 7,77 mln dolarów, 36,85 BTC o wartości około 2,97 mln dolarów, 96,6 BNB o wartości około 66 000 dolarów oraz dodatkowe tokeny, w tym według wczesnych doniesień 798 000 USDC. Trzy adresy, z których dokonano kradzieży, zostały publicznie oznaczone w sieciach Bitcoin i Ethereum w celu śledzenia przez firmy zajmujące się bezpieczeństwem.

Operatorzy węzłów zareagowali szybko, uruchamiając zdecentralizowane globalne zatrzymanie awaryjne Thorchain poprzez ustawienia zarządzania protokołu Mimir. Zatrzymanie zawiesiło wymiany, obrót w skarbcu i podpisywanie na dotkniętych łańcuchach, począwszy od bloku 26190429. Transakcje RUNE na łańcuchu natywnym były kontynuowane w ograniczonym zakresie.

RUNE, natywny token Thorchain, spadł o 12–15% w ciągu kilku godzin od ostrzeżenia ZachXBT. Token spadł z około 0,58 USD do około 0,50 USD na głównych giełdach. Dostawcy płynności i użytkownicy pozostają w stanie zawieszenia, podczas gdy firmy zajmujące się bezpieczeństwem, w tym Peckshield i Cyvers, monitorują oznaczone adresy.

W momencie pisania tego tekstu konto @Thorchain na X nie opublikowało żadnego publicznego wpisu na temat luki. Nie opublikowano żadnego oficjalnego raportu podsumowującego, a środki na zidentyfikowanych adresach wydają się w dużej mierze nieaktywne.

Thorchain już wcześniej borykał się z atakami na poziomie protokołu. W lipcu 2021 r. wiele exploitów wymierzonych w router ETH spowodowało utratę od 4,9 mln do 8 mln dolarów. Zespół pokrył straty z funduszu rezerwowego i wstrzymał działanie protokołu w celu wprowadzenia poprawek. Obecny exploit ma inny profil zagrożenia, ale uderza w znany słaby punkt: proces migracji skarbca.
Architektura protokołu została zbudowana tak, aby uniknąć scentralizowanych punktów awarii. Obsługuje ona ponad 90 zdecentralizowanych węzłów, nie posiada żadnego klucza administracyjnego i unika aktywów typu wrapped. Taka konstrukcja sprawdziła się w przypadku niektórych rodzajów ataków, ale proces migracji został teraz zidentyfikowany jako powierzchnia podatna na ataki.

Thorchain zwrócił również na siebie uwagę w 2025 r. i na początku 2026 r. jako kanał przepływu środków związanych z atakiem na Bybit, przypisywanym grupie Lazarus, którego straty wyniosły blisko 1,4 mld USD, oraz incydentem KelpDAO, obejmującym swapy ETH na BTC o wartości ponad 175 mln USD. Przepływy te generowały opłaty dla protokołu, ale spotkały się z krytyką ze strony badaczy zajmujących się zgodnością i bezpieczeństwem.

Sytuacja wciąż się rozwija. Śledztwa trwają, a dostawcy płynności powinni unikać interakcji z protokołem do czasu wznowienia handlu i potwierdzenia wszystkich szczegółów. Po ustabilizowaniu się sytuacji spodziewana jest szczegółowa analiza sytuacji przeprowadzona przez operatorów węzłów Thorchain.

Aktualizacje będą pojawiać się na stronach dokumentacji Thorchain, koncie @Thorchain na X oraz w API Midgard, gdy tylko będą dostępne.