Thorchain понесла убытки почти на 11 млн долларов из-за того, что злоумышленники подделали процесс обмена активов в хранилище на четырех цепочках

Средства Thorchain подверглись взлому

Исследователь ончейн-сети ZachXBT первым сообщил об инциденте через свой канал в Telegram, оценив первоначальные убытки в более чем 7,4 млн долларов, после чего пересмотренные оценки увеличили эту сумму. Утечка затронула хранилища на биткоине, Ethereum, BNB Smart Chain и Base.

Метод атаки был основан на «обороте хранилищ» — стандартном процессе Thorchain, при котором операторы узлов поочередно входят и выходят из системы, а активы перераспределяются с использованием схем пороговой подписи. Похоже, что злоумышленники внедрили в этот процесс вредоносные адреса, обманув систему и заставив ее авторизовать переводы, которые она не должна была одобрять.

Среди похищенных активов — примерно 3 443 ETH на сумму 7,77 млн долларов, 36,85 BTC на сумму около 2,97 млн долларов, 96,6 BNB на сумму около 66 000 долларов, а также дополнительные токены, в том числе, по ранним сообщениям, 798 000 USDC. Три адреса, с которых были похищены средства, были публично отмечены в сетях Bitcoin и Ethereum для отслеживания компаниями по обеспечению безопасности.

Операторы узлов быстро отреагировали, запустив децентрализованную глобальную аварийную остановку Thorchain через настройки управления Mimir протокола. Остановка приостановила свопы, операцию с хранилищами и подписание на затронутых цепочках, начиная примерно с блока 26190429. Транзакции RUNE на собственной цепочке продолжались в ограниченном объеме.

RUNE, нативный токен Thorchain, упал на 12–15% в течение нескольких часов после предупреждения от ZachXBT. Токен упал с примерно 0,58 доллара до примерно 0,50 доллара на основных биржах. Поставщики ликвидности и пользователи остаются в режиме ожидания, пока компании по обеспечению безопасности, включая Peckshield и Cyvers, отслеживают отмеченные адреса.

На момент написания статьи аккаунт @Thorchain в X не публиковал открытых сообщений об уязвимости. Официальный отчет о происшествии не был опубликован, и средства на выявленных адресах, по всей видимости, в основном находятся в неактивном состоянии.

Thorchain ранее сталкивался с атаками на уровне протокола. В июле 2021 года в результате нескольких атак, нацеленных на маршрутизатор ETH, было похищено от 4,9 до 8 миллионов долларов. Команда покрыла убытки из казны и приостановила работу протокола для устранения уязвимостей. Нынешний эксплойт имеет иной профиль угрозы, но поражает знакомое слабое место: процесс миграции хранилища.
Архитектура протокола была построена так, чтобы избежать централизованных точек отказа. Он использует более 90 децентрализованных узлов, не хранит единого ключа администратора и избегает использования обернутых активов. Такая конструкция выдержала определенные типы атак, но процесс миграции теперь был идентифицирован как уязвимое место.

Thorchain также привлек внимание в 2025 и в начале 2026 года как канал для средств, связанных с взломом Bybit, который приписывается группе Lazarus и принес убытки в размере около 1,4 миллиарда долларов, а также с инцидентом KelpDAO, связанным с обменом ETH на BTC на сумму более 175 миллионов долларов. Эти потоки принесли комиссионные доходы протоколу, но вызвали критику со стороны исследователей в области комплаенса и безопасности.

Ситуация продолжает развиваться. Расследования продолжаются, и поставщикам ликвидности следует воздерживаться от взаимодействия с протоколом до возобновления торгов и подтверждения всех подробностей. Ожидается, что после стабилизации ситуации операторы узлов Thorchain опубликуют подробный отчет о произошедшем.

Обновления будут появляться на страницах документации Thorchain, в аккаунте @Thorchain в X и в API Midgard по мере их появления.