Thorchain thiệt hại gần 11 triệu USD do các hacker can thiệp vào quy trình xoay vòng kho tiền trên 4 chuỗi khối

Quỹ Thorchain bị xâm phạm

Nhà điều tra on-chain ZachXBT là người đầu tiên cảnh báo về sự cố này qua kênh Telegram của mình, ước tính thiệt hại ban đầu trên 7,4 triệu USD trước khi các ước tính được điều chỉnh đẩy tổng số lên cao hơn. Vụ vi phạm đã ảnh hưởng đến các kho tiền trên Bitcoin, Ethereum, BNB Smart Chain và Base.

Phương thức tấn công tập trung vào quá trình "vault churn", một quy trình tiêu chuẩn của Thorchain trong đó các nhà điều hành nút luân phiên vào và ra trong khi tài sản được phân phối lại thông qua các phương án ký tên ngưỡng. Các hacker dường như đã chèn các địa chỉ độc hại vào quy trình này, lừa hệ thống phê duyệt các giao dịch mà nó không nên chấp thuận.

Các tài sản bị đánh cắp bao gồm khoảng 3.443 ETH trị giá $7,77 triệu, 36,85 BTC trị giá khoảng $2,97 triệu, 96,6 BNB trị giá khoảng $66.000, cùng các token khác, bao gồm báo cáo ban đầu về 798.000 USDC. Ba địa chỉ đánh cắp đã được công khai đánh dấu trên Bitcoin và Ethereum để các công ty an ninh theo dõi.

Các nhà điều hành nút đã phản ứng nhanh chóng bằng cách kích hoạt cơ chế ngừng khẩn cấp toàn cầu phi tập trung của Thorchain thông qua cài đặt quản trị Mimir của giao thức. Việc ngừng hoạt động này đã tạm dừng các giao dịch hoán đổi, hoạt động xoay vòng trong kho và ký kết trên các chuỗi bị ảnh hưởng, bắt đầu từ khối 26190429. Các giao dịch RUNE trên chuỗi gốc vẫn tiếp tục với khả năng hạn chế.

RUNE, token gốc của Thorchain, đã giảm 12 đến 15% chỉ vài giờ sau cảnh báo của ZachXBT. Giá token này giảm từ khoảng $0,58 xuống còn khoảng $0,50 trên các sàn giao dịch lớn. Các nhà cung cấp thanh khoản và người dùng vẫn đang chờ đợi trong khi các công ty an ninh, bao gồm Peckshield và Cyvers, theo dõi các địa chỉ bị đánh dấu.

Tính đến thời điểm viết bài, tài khoản @Thorchain trên X vẫn chưa đăng bài công khai về vụ tấn công. Chưa có báo cáo phân tích sau sự cố chính thức nào được công bố, và số tiền tại các địa chỉ bị phát hiện dường như vẫn đang nằm im.

Thorchain đã từng đối mặt với các cuộc tấn công ở cấp độ giao thức trước đây. Vào tháng 7 năm 2021, nhiều vụ khai thác nhắm vào bộ định tuyến ETH đã rút cạn từ $4,9 triệu đến $8 triệu. Đội ngũ đã bù đắp tổn thất từ quỹ dự trữ và tạm dừng giao thức để khắc phục. Lỗ hổng hiện tại có hồ sơ đe dọa khác biệt nhưng lại nhắm vào điểm yếu quen thuộc: quy trình di chuyển kho (vault migration).

Kiến trúc giao thức được thiết kế để tránh các điểm thất bại tập trung. Nó vận hành hơn 90 nút phi tập trung, không lưu giữ bất kỳ khóa quản trị nào và tránh sử dụng tài sản được bọc (wrapped assets). Thiết kế này đã chống chọi được với một số loại tấn công, nhưng quy trình di chuyển kho hiện đã được xác định là bề mặt có thể bị khai thác.

Thorchain cũng thu hút sự chú ý vào năm 2025 và đầu năm 2026 như một kênh chuyển tiền liên quan đến vụ hack Bybit, được cho là do nhóm Lazarus thực hiện với thiệt hại gần $1,4 tỷ, và vụ việc KelpDAO liên quan đến hơn $175 triệu trong các giao dịch hoán đổi ETH sang BTC. Các luồng tiền này đã tạo ra phí cho giao thức nhưng vấp phải sự chỉ trích từ các nhà nghiên cứu tuân thủ và an ninh.

Đây là một diễn biến đang phát triển. Các cuộc điều tra vẫn đang diễn ra, và các nhà cung cấp thanh khoản nên tránh tương tác với giao thức cho đến khi giao dịch được khôi phục và các chi tiết đầy đủ được xác nhận. Một báo cáo phân tích chi tiết từ các nhà điều hành nút của Thorchain dự kiến sẽ được công bố khi tình hình ổn định.

Các cập nhật sẽ được đăng tải trên các trang tài liệu của Thorchain, tài khoản @Thorchain trên X và API Midgard khi có sẵn.