Thorchain utrpel stratu takmer 11 miliónov dolárov, keď útočníci narušili proces obmieňania prostriedkov v trezore naprieč štyrmi reťazcami

Ohrozené prostriedky Thorchain

Vyšetrovateľ on-chainu ZachXBT ako prvý upozornil na incident prostredníctvom svojho kanálu na Telegramu, pričom počiatočné straty odhadol na viac ako 7,4 milióna dolárov, než revidované odhady zvýšili celkovú sumu. Útok zasiahol trezory na platformách Bitcoin, Ethereum, BNB Smart Chain a Base.

Metóda útoku sa zameriavala na „vault churn“, štandardný proces Thorchainu, pri ktorom sa prevádzkovatelia uzlov striedajú, zatiaľ čo sa aktíva prerozdeľujú pomocou schém prahových podpisov. Útočníci zrejme vložili do tohto procesu škodlivé adresy, čím oklamali systém, aby autorizoval prevody, ktoré nemal schváliť.

Medzi ukradnuté aktíva patrí približne 3 443 ETH v hodnote 7,77 milióna dolárov, 36,85 BTC v hodnote približne 2,97 milióna dolárov, 96,6 BNB v hodnote okolo 66 000 dolárov a ďalšie tokeny, vrátane skorších správ o 798 000 USDC. Tri adresy, z ktorých došlo k krádeži, boli verejne označené v sieťach Bitcoin a Ethereum, aby ich mohli sledovať bezpečnostné firmy.

Prevádzkovatelia uzlov rýchlo zareagovali spustením decentralizovaného globálneho núdzového zastavenia Thorchainu prostredníctvom nastavení správy protokolu Mimir. Zastavenie pozastavilo výmeny, prevádzku trezorov a podpisovanie na postihnutých reťazcoch počnúc blokom 26190429. Transakcie RUNE na natívnom reťazci pokračovali v obmedzenom rozsahu.

RUNE, natívny token Thorchainu, klesol o 12 až 15 % v priebehu niekoľkých hodín od varovania ZachXBT. Token klesol z približne 0,58 USD na približne 0,50 USD na hlavných burzách. Poskytovatelia likvidity a používatelia zostávajú v pohotovosti, zatiaľ čo bezpečnostné firmy, vrátane Peckshield a Cyvers, monitorujú označené adresy.

V čase písania tohto článku účet @Thorchain na X nezverejnil žiadny príspevok o tomto zneužití. Nebola zverejnená žiadna oficiálna analýza a prostriedky na identifikovaných adresách sa zdajú byť z veľkej časti neaktívne.

Thorchain už v minulosti čelil útokom na úrovni protokolu. V júli 2021 viacero útokov zameraných na smerovač ETH odčerpalo medzi 4,9 a 8 miliónmi dolárov. Tím pokryli straty z pokladnice a pozastavili protokol na účely opráv. Tento aktuálny exploit má odlišný profil hrozby, ale zasahuje známu slabinu: proces migrácie trezoru.
Architektúra protokolu bola navrhnutá tak, aby sa vyhla centralizovaným bodom zlyhania. Prevádzkuje viac ako 90 decentralizovaných uzlov, nedisponuje žiadnym jediným administrátorským kľúčom a vyhýba sa zabaleným aktívam. Tento dizajn odolal určitým typom útokov, avšak proces migrácie bol teraz identifikovaný ako zraniteľná plocha.

Thorchain tiež upútal pozornosť v roku 2025 a na začiatku roku 2026 ako priechod pre prostriedky spojené s hackom Bybit, pripisovaným skupine Lazarus Group so stratami blížiacimi sa k 1,4 miliarde dolárov, a incidentom KelpDAO zahŕňajúcim viac ako 175 miliónov dolárov v swapoch ETH-to-BTC. Tieto toky generovali poplatky pre protokol, ale vyvolali kritiku zo strany výskumníkov v oblasti dodržiavania predpisov a bezpečnosti.

Toto je rozvíjajúci sa príbeh. Vyšetrovania stále prebiehajú a poskytovatelia likvidity by sa mali vyhnúť interakcii s protokolom, kým sa neobnoví obchodovanie a nepotvrdia sa všetky podrobnosti. Akonáhle sa situácia stabilizuje, očakáva sa podrobná analýza od prevádzkovateľov uzlov Thorchain.

Aktualizácie sa budú objavovať na dokumentačných stránkach Thorchain, na účte @Thorchain X a v Midgard API, hneď ako budú k dispozícii.