Thorchain förlorar nästan 11 miljoner dollar när angripare manipulerar processen för att omsätta tillgångar i valv över fyra blockkedjor

Thorchains medel komprometterade

Onchain-utredaren ZachXBT uppmärksammade först incidenten via sin Telegram-kanal och uppskattade de initiala förlusterna till över 7,4 miljoner dollar innan reviderade uppskattningar höjde det totala beloppet. Intrånget drabbade valv på Bitcoin, Ethereum, BNB Smart Chain och Base.

Attackmetoden fokuserade på en valvrotation, en standardprocess hos Thorchain där nodoperatörer roterar in och ut medan tillgångar omfördelas med hjälp av tröskelvärdessignatursystem. Angriparna verkar ha infogat skadliga adresser i den processen och lurat systemet att godkänna överföringar som det inte borde ha godkänt.

De stulna tillgångarna omfattar ungefär 3 443 ETH till ett värde av 7,77 miljoner dollar, 36,85 BTC värda cirka 2,97 miljoner dollar, 96,6 BNB värda omkring 66 000 dollar samt ytterligare tokens, inklusive tidiga rapporter om 798 000 USDC. Tre stöldadresser flaggades offentligt på Bitcoin och Ethereum för spårning av säkerhetsföretag.

Nodoperatörerna reagerade snabbt genom att utlösa Thorchains decentraliserade globala nödstopp via protokollets Mimir-styrningsinställningar. Stoppet avbröt swappar, vault-churning och signering på drabbade kedjor med start omkring block 26190429. RUNE-transaktioner på den inhemska kedjan fortsatte i begränsad omfattning.

RUNE, Thorchains inhemska token, föll med 12 till 15 % inom några timmar efter ZachXBT:s varning. Token sjönk från cirka 0,58 USD till ungefär 0,50 USD på de stora börserna. Likviditetsleverantörer och användare avvaktar medan säkerhetsföretag, däribland Peckshield och Cyvers, övervakar de flaggade adresserna.

Vid tidpunkten för detta skrivande hade @Thorchain-kontot på X inte publicerat något om säkerhetsluckan. Ingen officiell efteranalys har släppts, och medlen på de identifierade adresserna verkar i stort sett vara inaktiva.

Thorchain har tidigare utsatts för attacker på protokollnivå. I juli 2021 tömde flera säkerhetsluckor riktade mot ETH-routern mellan 4,9 och 8 miljoner dollar. Teamet täckte förlusterna från kassan och pausade protokollet för att åtgärda felet. Denna aktuella säkerhetslucka följer en annan hotprofil men träffar en välbekant svag punkt: processen för migrering av valv.

Protokollets arkitektur byggdes för att undvika centraliserade felpunkter. Det kör mer än 90 decentraliserade noder, innehar ingen enskild administratörsnyckel och undviker inslagna tillgångar. Den designen har hållit mot vissa typer av attacker, men omsättningsprocessen har nu identifierats som en yta som kan utnyttjas.

Thorchain uppmärksammades också under 2025 och i början av 2026 som en kanal för medel kopplade till Bybit-hacket, som tillskrivs Lazarus Group med förluster på nära 1,4 miljarder dollar, samt KelpDAO-incidenten som involverade mer än 175 miljoner dollar i ETH-till-BTC-swappar. Dessa flöden genererade avgifter för protokollet men väckte kritik från forskare inom regelefterlevnad och säkerhet.

Detta är en pågående händelse. Utredningarna pågår fortfarande, och likviditetsleverantörer bör undvika att interagera med protokollet tills handeln återupptas och alla detaljer har bekräftats. En detaljerad efteranalys från Thorchains nodoperatörer förväntas när situationen har stabiliserats.

Uppdateringar kommer att publiceras på Thorchains dokumentationssidor, @Thorchain X-kontot och Midgard API så snart de blir tillgängliga.