cryptopolitan.com
THORChain ist seit drei Wochen offline, nachdem es zu einem Angriff auf den Tresor im Wert von 10,7 Millionen Dollar gekommen war.
THORChain plante ursprünglich die Integration von $ZEC in seine Plattform, doch auch dies verzögert sich nun aufgrund einer kritischen Sicherheitslücke im geschützten Orchard-Pool von Zcash. Diese Entscheidung hätte für $ZEC zu keinem ungünstigeren Zeitpunkt kommen können, da der Kurs seit der Entdeckung der KI-gestützten Schwachstelle stark unter Druck geraten ist.
Was ist mit THORChain passiert und wann wird es neu gestartet?
THORChain ist seit drei Wochen offline, nachdem es zu einem schwerwiegenden Sicherheitsvorfall kam, bei dem 10,7 Millionen Dollar aus einem der Tresore verloren gingen.
Das Problem bei THORChain begann mit einer Schwachstelle im Sicherheitssystem des sogenannten GG20-Schwellenwertsignaturverfahrens. Ein Angreifer konnte sich als Knotenbetreiber in das Netzwerk einloggen und diese Schwachstelle ausnutzen, um Gelder aus einem einzelnen Tresor abzuheben. Die anderen vier Tresore waren nicht betroffen.
Die Entwickler von THORChain haben vor einigen Tagen einen Fix (Version 3.19) veröffentlicht, aber das Netzwerk hat den normalen Betrieb noch nicht wieder aufgenommen.
Das Team hat sogar einen neuen Sicherheitsschritt namens „Schlüsselverifizierung“ eingeführt, um sicherzustellen, dass alle verbleibenden Tresore vor der Wiederaufnahme des Betriebs gesichert sind. Der Neustartprozess umfasst die Umstellung der Knotenbetreiber auf die neue Softwareversion, die Migration der Gelder und schließlich die Wiederaufnahme des Handels. Barraford schätzte, dass dieser Prozess nach seinem Beginn mehrere Tage dauern wird.
Der Sanierungsplan ADR028 zielt darauf ab, den Verlust von 10,7 Millionen US-Dollar zu decken, ohne neue RUNE-Token zu schaffen oder bestehende Token-Inhaber zu verwässern. Stattdessen werden die eigenen Mittel des Protokolls verwendet, und ein etwaiger Restverlust wird mit den Inhabern synthetischer Vermögenswerte geteilt. Das Protokoll bietet dem Hacker außerdem eine Belohnung für die Rückgabe der Gelder.
Was war der Zcash Bug und warum hat er einen so starken Preisverfall verursacht?
Zcash sollte eigentlich die nächste Blockchain-Integration von THORChain sein, noch vor Monero, doch dieser Zeitplan verschob sich, nachdem der Sicherheitsforscher Taylor Hornby, der imtracvon Shielded Labs arbeitete, einen Integritätsfehler im geschützten Orchard-Pool von Zcashentdeckt hatte.
Der Fehler ist seit dem Start des Orchard-Protokolls im Mai 2022 im Regelwerk vorhanden. Hornby nutzte das Opus 4.8-Modell von Anthropic, um ein funktionierendes Beispiel des Exploits in einer Testumgebung zu erstellen und bestätigte, dass damit gefälschte Token in einer lokalen Testumgebung erzeugt werden konnten.
Ein Notfall-Softfork legte am 2. Juni die Orchard-Transaktionen vorübergehend lahm, und ein Hardfork (NU6.2) reaktivierte den Pool am 3. Juni mit einem korrigierten Circuit. Die fünftägige Bearbeitungszeit von der Entdeckung bis zur Behebung war erst das zweite sicherheitsbedingte Protokoll-Upgrade in der zehnjährigen Geschichte von Zcash.
Nach Bekanntwerden des Fehlers fiel der Kurs von $ZEC innerhalb von 24 Stunden um rund 40 %. Laut Daten von CoinMarketCap notierte der Token bei etwa 333 US-Dollar, deutlich unter dem 52-Wochen-Hoch von über 700 US-Dollar.
Arthur Hayes, Chief Investment Officer bei Maelstrom und Mitbegründer von BitMEX, gab auf X bekannt, dass er seine gesamten $ZEC-Bestände liquidiert hat. Hayes hatte zuvor ein öffentliches Kursziel von 10 % des BitcoinWertes für $ZEC festgelegt, doch der Kursverfall um 30 % zwang ihn zum Umdenken.
Er ließ die Möglichkeit offen, die Token zurückzukaufen, falls sich seine Bedenken hinsichtlich der Versorgungssicherheit als unbegründet erweisen sollten.
Das Blockchain-Analyseunternehmen Arkham hat mindestens einen Großaktionär identifiziert, der zusehen musste, wie mehr als die Hälfte des Wertes einer $ZEC-Position im Wert von 174 Millionen Dollar verdampfte, ohne sie zu verkaufen.
Shielded Labs, die Organisation, die den Fehler behoben hat, erklärte, dass es aufgrund des vierjährigen Zeitraums vor seiner Entdeckung kryptografisch unmöglich sei festzustellen, ob der Fehler jemals ausgenutzt wurde oder nicht. Das Unternehmen gab jedoch auch an, dass es unwahrscheinlich sei, dass der Fehler jahrelange Expertenprüfungen hätte umgehen können, wenn er aktiv gewesen wäre.
Schon die Entdeckung der Sicherheitslücke erforderte KI-gestützte Prüfverfahren, und das Zeitfenster für die Behebung war nach Bekanntwerden des Fehlers sehr klein.