THORChain останавливает всю торговлю после мультицепочного взлома, который украл более 10 миллионов долларов

Децентрализованный протокол межцепочечной ликвидности THORChain приостановил все торги поздно в четверг после того, как блокчейн-исследователь ZachXBT указал на, по всей видимости, масштабную эксплуатацию. Предупреждение, распространённое через социальные сети, предупредило, что протокол был атакован на Bitcoin, Ethereum, BNB Smart Chain и Base, при этом предварительные оценки потерь уже превысили 10 миллионов долларов.

Основная команда THORChain ответила выполнением глобальной чрезвычайной остановки, заморозив все обмены и операции с ликвидностью по всей сети. Этот шаг — самый радикальный защитный мер, доступный протоколу, который обеспечивает обмен нативных активов без обёрнутых токенов или централизованных посредников. Именно этот дизайн — основанный на сети узлов и постоянных пулах ликвидности на различных цепочках — теперь, похоже, был использован против него.

Архитектура протокола и поверхность атаки

В отличие от мостовых протоколов, которые блокируют активы на одной цепочке и создают синтетические версии на другой, THORChain использует нативные пулы, в которые пользователи вносят реальные активы. Это исключает риск обёрнутых токенов, но полностью переносит бремя безопасности на логику протокола и операторов узлов. Атака, охватывающая сразу четыре основные цепочки, предполагает либо ошибку в логике основного механизма обмена, либо компрометацию уровня валидатора, либо сложную арбитражную манипуляцию, которая истощила ликвидность в нескольких пулах за координированный промежуток времени.

Все вовлечённые цепочки принадлежат к набору блокчейнов с самой высокой активностью разработчиков, согласно метрикам, отслеживаемым на этой неделе. Bitcoin, Ethereum, BSC и Base обладают глубокой ликвидностью и активными DeFi-экосистемами, что делает их привлекательными целями. Межцепочечный характер эксплуатации вызывает немедленные вопросы о том, не пропустили ли операторы узлов THORChain раннее обнаружение атаки или существовала ли ошибка в обработке межцепочечных сообщений протокола.

Первоначальное предупреждение ZachXBT не раскрывает точный вектор атаки, и данные на цепочке всё ещё анализируются специалистами по безопасности. Число в 10 миллионов долларов — это видимая сумма, которая была истощена на момент предупреждения; окончательные потери могут возрасти после сверки всех балансов пулов. Этот инцидент подчеркивает постоянную проблему инфраструктуры межцепочечной связи: поверхность атаки увеличивается с каждым новым интегрированным блокчейном, и даже незначительные ошибки конфигурации могут привести к убыткам в восемь цифр.

Экстренная остановка и реакция рынка

Глобальная чрезвычайная остановка — крайняя мера, которая приостанавливает всю функцию обмена — предназначена для того, чтобы купить время. Валидаторы и разработчики могут оценить ущерб без дальнейших утечек активов. Для пользователей это означает, что ликвидность заморожена. Любой, у кого есть активы в пулах THORChain, не может вывести или перераспределить их до снятия остановки, что вызывает немедленные опасения по поводу эффективности капитала для стратегий доходности и арбитражников, полагающихся на протокол.

Исторически, межцепочечные эксплойты, вызывающие полные остановки, часто требуют дней или недель для разрешения. Исследователи должны проследить поток украденных средств через несколько блокчейнов, координировать действия с биржами и правоохранительными органами и определить, возможна ли исправление без полного обновления протокола. В это время нативный токен RUNE сталкивается с концентрированным давлением на продажу, хотя он уже торговался значительно ниже своих циклических максимумов на фоне общего спада объема DeFi.

Время также добавляет дополнительное трение. Активность DeFi на основных цепочках была слабой, а поставщики ликвидности уже настороженно относятся к рискам непостоянных убытков и смарт-контрактов. Многоцепочечная эксплуатация протокола, позиционирующего себя как более безопасную альтернативу традиционным мостам, может ускорить перераспределение капитала в сторону централизованных продуктов доходности или простых одноканальных стейкингов.

Повторяющийся кошмар для инфраструктуры межцепочечной связи

Инцидент THORChain происходит на фоне серии атак на мосты и межцепочечные протоколы, которые за последние пять лет истощили миллиарды из экосистемы. Wormhole, Ronin, Poly Network и Multichain пережили крупные атаки, часто вызванные компрометацией ключей валидаторов или ошибками в механизмах обновления. Каждый взлом подтверждает жестокую реальность: коммуникация между цепочками остаётся одним из самых уязвимых слоёв крипто-стека.

Что отличает этот случай — это одновременное воздействие на Bitcoin и три платформы смарт-контрактов. DeFi на базе Bitcoin всё ещё находится в зачаточном состоянии, и THORChain был одним из немногих протоколов, позволяющих по-настоящему нативные обмены BTC без кастодиального обёртывания. Эксплуатация, которая запятнает этот путь, может замедлить институциональное и розничное внедрение Bitcoin в DeFi, вынудив пользователей возвращаться к централизованным биржам или обёрнутым решениям, таким как WBTC, которые требуют доверия.

Аудиторы безопасности теперь будут тщательно изучать логи операторов узлов и события ребалансировки пулов, произошедшие до остановки. Экономическая модель безопасности протокола — где операторы узлов залогом RUNE обеспечивают безопасность сети — также подвергнется проверке. Если уязвимость возникла из-за управленческого сбоя или дефекта механизма штрафов, который должен наказывать злонамеренных операторов, ущерб может выйти за рамки немедленных финансовых потерь и поставить под сомнение доверие к модели безопасности THORChain.

Что остаётся неясным

Некоторые важные детали всё ещё отсутствуют. Точный механизм эксплуатации не раскрыт, что делает невозможным определить, ограничена ли уязвимость кодовой базой THORChain или другие межцепочечные протоколы с подобной архитектурой сталкиваются с той же опасностью. Также неизвестна личность злоумышленника и были ли заморожены какие-либо средства централизованными эмитентами стейбкоинов или биржами. Хотя некоторые межцепочечные атаки завершаются частичным восстановлением через переговоры с «белыми хакерами» или действия правоохранительных органов, начальное распространение по нескольким цепочкам говорит о решительном и хорошо обеспеченном противнике.

Самый важный вопрос для пользователей и поставщиков ликвидности — как долго продлится остановка и можно ли восстановить полную функциональность пулов без голосования по управлению или миграции контракта. Прошлые заморозки протоколов в других DeFi-проектах затягивались на недели, когда причина требовала значительной реструктуризации. Любая задержка в возобновлении обменов проверит лояльность ликвидной базы THORChain, особенно на фоне появления новых решений межцепочечной связи.

На данный момент единственная уверенность — это то, что уязвимость выявила новые трещины в нарративе межцепочечной связи, лежащем в основе будущего DeFi. Реакция рынка в ближайшие дни покажет, считается ли это единичным сбоем протокола или предупреждением для всей категории инфраструктуры.