news.bitcoin.com
В пятницу проект Thorchain понес убытки на сумму от 10 до 11 миллионов долларов в результате хакерской атаки, в ходе которой злоумышленники использовали метод «отравления» адресов хранилища (vault churn address poisoning) для перенаправления средств во время плановой миграции между несколькими блокчейнами.
Key Takeaways
-
Ключевые выводы:
-
- 15 мая 2026 года Thorchain потерял примерно от 10 до 11 миллионов долларов в биткоинах, эфирах, BSC и Base.
- ZachXBT публично сообщил об уязвимости, после чего курс $RUNE упал на 12–15% за несколько часов, опустившись примерно до 0,50 доллара.
- Операторы узлов инициировали глобальную экстренную остановку; полный отчет Thorchain о произошедшем пока не опубликован.
Средства Thorchain подверглись взлому
Исследователь ончейн-сети ZachXBT первым сообщил об инциденте через свой канал в Telegram, оценив первоначальные убытки в более чем 7,4 млн долларов, после чего пересмотренные оценки увеличили эту сумму. Утечка затронула хранилища на биткоине, Ethereum, $BNB Smart Chain и Base.
Метод атаки был основан на «обороте хранилищ» — стандартном процессе Thorchain, при котором операторы узлов поочередно входят и выходят из системы, а активы перераспределяются с использованием схем пороговой подписи. Похоже, что злоумышленники внедрили в этот процесс вредоносные адреса, обманув систему и заставив ее авторизовать переводы, которые она не должна была одобрять.
Среди похищенных активов — примерно 3 443 $ETH на сумму 7,77 млн долларов, 36,85 $BTC на сумму около 2,97 млн долларов, 96,6 $BNB на сумму около 66 000 долларов, а также дополнительные токены, в том числе, по ранним сообщениям, 798 000 USDC. Три адреса, с которых были похищены средства, были публично отмечены в сетях Bitcoin и Ethereum для отслеживания компаниями по обеспечению безопасности.
Операторы узлов быстро отреагировали, запустив децентрализованную глобальную аварийную остановку Thorchain через настройки управления Mimir протокола. Остановка приостановила свопы, операцию с хранилищами и подписание на затронутых цепочках, начиная примерно с блока 26190429. Транзакции $RUNE на собственной цепочке продолжались в ограниченном объеме.
$RUNE, нативный токен Thorchain, упал на 12–15% в течение нескольких часов после предупреждения от ZachXBT. Токен упал с примерно 0,58 доллара до примерно 0,50 доллара на основных биржах. Поставщики ликвидности и пользователи остаются в режиме ожидания, пока компании по обеспечению безопасности, включая Peckshield и Cyvers, отслеживают отмеченные адреса.
На момент написания статьи аккаунт @Thorchain в X не публиковал открытых сообщений об уязвимости. Официальный отчет о происшествии не был опубликован, и средства на выявленных адресах, по всей видимости, в основном находятся в неактивном состоянии.
Thorchain ранее сталкивался с атаками на уровне протокола. В июле 2021 года в результате нескольких атак, нацеленных на маршрутизатор $ETH, было похищено от 4,9 до 8 миллионов долларов. Команда покрыла убытки из казны и приостановила работу протокола для устранения уязвимостей. Нынешний эксплойт имеет иной профиль угрозы, но поражает знакомое слабое место: процесс миграции хранилища.
Архитектура протокола была построена так, чтобы избежать централизованных точек отказа. Он использует более 90 децентрализованных узлов, не хранит единого ключа администратора и избегает использования обернутых активов. Такая конструкция выдержала определенные типы атак, но процесс миграции теперь был идентифицирован как уязвимое место.
Thorchain также привлек внимание в 2025 и в начале 2026 года как канал для средств, связанных с взломом Bybit, который приписывается группе Lazarus и принес убытки в размере около 1,4 миллиарда долларов, а также с инцидентом KelpDAO, связанным с обменом $ETH на $BTC на сумму более 175 миллионов долларов. Эти потоки принесли комиссионные доходы протоколу, но вызвали критику со стороны исследователей в области комплаенса и безопасности.
Ситуация продолжает развиваться. Расследования продолжаются, и поставщикам ликвидности следует воздерживаться от взаимодействия с протоколом до возобновления торгов и подтверждения всех подробностей. Ожидается, что после стабилизации ситуации операторы узлов Thorchain опубликуют подробный отчет о произошедшем.
Обновления будут появляться на страницах документации Thorchain, в аккаунте @Thorchain в X и в API Midgard по мере их появления.