Saldırganlar 4 zincirde kasaların devir sürecini zehirleyerek Thorchain'e yaklaşık 11 milyon dolarlık zarar verdi

Thorchain Fonları Tehlikeye Girdi

Onchain araştırmacısı ZachXBT, olayı ilk olarak Telegram kanalı üzerinden duyurdu ve revize edilmiş tahminler toplam rakamı daha da yükseltmeden önce ilk kayıpları 7,4 milyon doların üzerinde olarak açıkladı. Saldırı, Bitcoin, Ethereum, BNB Smart Chain ve Base'deki kasaları vurdu.

Saldırı yöntemi, varlıkların eşik imza şemaları kullanılarak yeniden dağıtıldığı sırada düğüm operatörlerinin girip çıktığı standart bir Thorchain süreci olan kasada yapılan değişikliklere odaklandı. Saldırganlar, bu sürece kötü amaçlı adresler ekleyerek sistemi, onaylamaması gereken transferleri onaylamaya ikna etmiş görünüyor.

Çalınan varlıklar arasında 7,77 milyon dolar değerinde yaklaşık 3.443 ETH, yaklaşık 2,97 milyon dolar değerinde 36,85 BTC, yaklaşık 66.000 dolar değerinde 96,6 BNB ve 798.000 USDC'lik ilk raporlar da dahil olmak üzere ek tokenler bulunuyor. Güvenlik firmaları tarafından izlenebilmesi için Bitcoin ve Ethereum'da üç hırsızlık adresi kamuya açık olarak işaretlendi.

Düğüm operatörleri, protokolün Mimir yönetişim ayarları aracılığıyla Thorchain'in merkezi olmayan küresel acil durdurma mekanizmasını tetikleyerek hızlı bir şekilde yanıt verdi. Durdurma, blok 26190429 civarında başlayarak etkilenen zincirlerde takasları, kasada işlem yapmayı ve imzalamayı askıya aldı. Yerel zincirdeki RUNE işlemleri sınırlı kapasiteyle devam etti.

Thorchain'in yerel tokenı olan RUNE, ZachXBT'nin uyarısından birkaç saat sonra %12 ila %15 arasında değer kaybetti. Token, büyük borsalarda yaklaşık 0,58 dolardan 0,50 dolara düştü. Peckshield ve Cyvers dahil güvenlik firmaları işaretlenen adresleri izlerken, likidite sağlayıcıları ve kullanıcılar beklemede kalmaya devam ediyor.

Bu yazının yazıldığı sırada, X'teki @Thorchain hesabı bu istismar hakkında kamuya açık bir paylaşımda bulunmamıştı. Resmi bir olay sonrası raporu yayınlanmadı ve tespit edilen adreslerdeki fonlar büyük ölçüde hareketsiz görünüyor.

Thorchain daha önce de protokol düzeyinde saldırılarla karşı karşıya kalmıştı. Temmuz 2021'de, ETH yönlendiricisini hedef alan çok sayıda istismar, 4,9 milyon ile 8 milyon dolar arasında bir tutarı sızdırdı. Ekip, kayıpları hazineden karşıladı ve düzeltmeler için protokolü duraklattı. Mevcut bu istismar, farklı bir tehdit profilini takip etse de tanıdık bir zayıf noktayı hedef alıyor: kasa taşıma süreci.

Protokolün mimarisi, merkezi arıza noktalarını önlemek için oluşturuldu. 90'dan fazla merkezi olmayan düğüm çalıştırıyor, tek bir yönetici anahtarı barındırmıyor ve sarılmış varlıklardan kaçınıyor. Bu tasarım belirli saldırı türlerine karşı dayanıklı olsa da, taşıma süreci artık istismar edilebilir bir yüzey olarak tanımlandı.

Thorchain, 2025 ve 2026'nın başlarında, Lazarus Group'a atfedilen ve 1,4 milyar dolara yakın zarara yol açan Bybit hack'iyle bağlantılı fonların geçiş noktası olarak ve 175 milyon dolardan fazla ETH-BTC takası içeren KelpDAO olayıyla da dikkat çekti. Bu akışlar protokol için ücretler oluşturdu ancak uyum ve güvenlik araştırmacılarından eleştiri aldı.

Bu gelişmekte olan bir olaydır. Soruşturmalar devam etmektedir ve likidite sağlayıcıları, işlemler yeniden başlayana ve tüm ayrıntılar teyit edilene kadar protokol ile etkileşime girmekten kaçınmalıdır. Durum istikrar kazandığında, Thorchain'in düğüm operatörlerinden ayrıntılı bir olay analizi beklenmektedir.

Güncellemeler, hazır olduklarında Thorchain'in dokümantasyon sayfalarında, @Thorchain X hesabında ve Midgard API'sinde yayınlanacaktır.