Thorchain损失近1100万美元，攻击者在4条链上篡改了金库周转流程

Thorchain资金遭侵蚀

链上调查员ZachXBT首先通过其Telegram频道披露了该事件，初步估算损失超过740万美元，随后修正后的估计将总损失推高。此次攻击波及了比特币、以太坊、BNB智能链和Base上的金库。

此次攻击主要利用了金库轮换机制——这是Thorchain的标准流程，节点运营商在此过程中轮换进出，同时资产通过阈值签名方案进行重新分配。攻击者似乎将恶意地址注入该流程，诱骗系统批准了本不应授权的转账。

被盗资产包括约3,443枚ETH（价值777万美元）、36.85枚BTC（价值约297万美元）、96.6枚BNB（价值约6.6万美元）以及其他代币，早期报告中还提到有79.8万枚USDC。安全公司已在比特币和以太坊网络上公开标记了三个盗窃地址以便追踪。

节点运营商迅速响应，通过协议的Mimir治理设置触发了Thorchain的去中心化全球紧急暂停机制。此次暂停自区块高度约26190429起，暂停了受影响链上的交易、金库操作及签名功能。原生链上的RUNE交易仍在有限范围内继续进行。

在ZachXBT发出警报后的数小时内，Thorchain的原生代币RUNE暴跌12%至15%。该代币在各大交易所的价格从约0.58美元跌至约0.50美元。在Peckshield和Cyvers等安全公司监控被标记地址期间，流动性提供者和用户仍处于观望状态。

截至发稿时，Thorchain的X平台账号@Thorchain尚未就此次漏洞公开发文。官方尚未发布正式的事件回顾报告，且已确认地址中的资金似乎大多处于休眠状态。 Thorchain此前曾遭遇过协议层面的攻击。2021年7月，针对ETH路由器的多起攻击导致490万至800万美元资金被盗。 当时团队动用金库资金弥补了损失，并暂停了协议以进行修复。此次漏洞虽具有不同的威胁特征，但触及了熟悉的薄弱环节：金库迁移流程。 该协议的架构旨在规避集中式故障点。它运行着90多个去中心化节点，不持有任何单一管理员密钥，且避免使用包装资产。这种设计在应对某些攻击类型时表现良好，但金库迁移流程现已被认定为可被利用的攻击面。

Thorchain 还因在 2025 年及 2026 年初成为资金中转站而备受关注，这些资金与 Bybit 黑客事件（据称由 Lazarus Group 所为，损失近 14 亿美元）以及涉及超过 1.75 亿美元 ETH 兑换 BTC 的 KelpDAO 事件有关。这些资金流动虽为协议带来了手续费收入，但也招致了合规及安全研究人员的批评。

这是一起正在发展的事件。调查仍在进行中，流动性提供者应避免与该协议交互，直至交易恢复且全部细节得到确认。预计在局势稳定后，Thorchain的节点运营商将发布详细的事件复盘报告。 最新动态将发布在Thorchain的文档页面、@Thorchain X账号以及Midgard API上，具体信息将适时更新。