Thorchain втратив майже 11 млн доларів через те, що зловмисники підробили процес обміну активів у сховищі в чотирьох блокчейнах

Кошти Thorchain скомпрометовані

Дослідник ончейн-мереж ЗакXBT першим повідомив про інцидент через свій канал у Telegram, оцінивши початкові збитки у понад 7,4 мільйона доларів, перш ніж переглянуті оцінки збільшили загальну суму. Злом торкнувся сховищ на Bitcoin, Ethereum, BNB Smart Chain та Base.

Метод атаки базувався на «churn» сховища — стандартному процесі Thorchain, під час якого оператори вузлів по черзі входять і виходять, а активи перерозподіляються за допомогою схем порогового підпису. Зловмисники, ймовірно, ввели в цей процес шкідливі адреси, змусивши систему авторизувати перекази, які вона не мала права затверджувати.

Серед викрадених активів — приблизно 3 443 ETH на суму 7,77 млн доларів, 36,85 BTC на суму близько 2,97 млн доларів, 96,6 BNB на суму близько 66 000 доларів, а також інші токени, зокрема, за попередніми даними, 798 000 USDC. Три адреси, з яких було здійснено крадіжку, були публічно позначені в мережах Bitcoin та Ethereum для відстеження компаніями з безпеки.

Оператори вузлів швидко відреагували, запустивши децентралізовану глобальну аварійну зупинку Thorchain через налаштування управління протоколу Mimir. Зупинка призупинила обміни, операції з сховищами та підписання на уражених ланцюгах, починаючи приблизно з блоку 26190429. Транзакції RUNE на рідному ланцюгу продовжувалися в обмеженому обсязі.

RUNE, нативний токен Thorchain, впав на 12–15% протягом кількох годин після попередження від ZachXBT. Токен впав з приблизно 0,58 до близько 0,50 долара на основних біржах. Постачальники ліквідності та користувачі залишаються в режимі очікування, поки компанії з безпеки, зокрема Peckshield та Cyvers, відстежують позначені адреси.

На момент написання статті акаунт @Thorchain у X не опублікував публічного повідомлення про цю уразливість. Офіційного аналізу інциденту опубліковано не було, а кошти на виявлених адресах, здається, знаходяться в основному в неактивному стані.

Thorchain раніше стикався з атаками на рівні протоколу. У липні 2021 року кілька уразливостей, спрямованих на маршрутизатор ETH, призвели до виведення коштів на суму від 4,9 до 8 мільйонів доларів. Команда покрила збитки з казни та призупинила роботу протоколу для виправлення помилок. Ця експлойта має інший профіль загрози, але вражає знайомий слабкий пункт: процес міграції сховища.
Архітектура протоколу була побудована так, щоб уникнути централізованих точок відмови. Вона підтримує понад 90 децентралізованих вузлів, не зберігає жодного адміністративного ключа та уникає обгорнутих активів. Ця конструкція витримала певні типи атак, але процес міграції сховища тепер визнано вразливим місцем.

Thorchain також привернув увагу у 2025 та на початку 2026 року як канал для коштів, пов'язаних із злом Bybit, який приписують групі Lazarus і який спричинив збитки на суму близько 1,4 млрд доларів, а також інцидентом KelpDAO, пов'язаним із обміном ETH на BTC на суму понад 175 млн доларів. Ці потоки генерували комісії для протоколу, але викликали критику з боку дослідників у сфері дотримання вимог та безпеки.

Ця історія розвивається. Розслідування тривають, і постачальники ліквідності повинні уникати взаємодії з протоколом, поки торгівля не відновиться і не будуть підтверджені всі деталі. Очікується детальний аналіз від операторів вузлів Thorchain, як тільки ситуація стабілізується.

Оновлення з'являтимуться на сторінках документації Thorchain, в акаунті @Thorchain X та в Midgard API, як тільки вони стануть доступними.