Новый узел ожидал две недели. Затем он взял $10,7 млн с THORChain

Злонамеренный оператор узла вывел из THORChain 10,7 миллиона долларов 15 мая через уязвимость GG20. Вот полный хронологический порядок событий, реакция безопасности и что ожидается дальше.

Кто-то присоединился к Discord разработчиков THORChain 1 мая под ником Dinosauruss. Аккаунт был свежим. Вопросы были конкретными — как запустить узел в сеть и как быстро. Обычный трехдневный интервал смены узлов уже был задержан по другим причинам, что означало необходимость ждать.

Согласно отчету о взломе THORChain №1, опубликованному 20 мая, адрес узла злоумышленника (n84q) наконец вошел в активный набор валидаторов 13 мая. Около 635 000 RUNE на двух адресах залога. Назначены случайным образом в один из пяти сейфов, как и любой другой оператор.

Узел, который вошел и так и не вышел

Два дня узел участвовал в рутинных церемониях подписания GG20. Ничего необычного не было видно. GG20, или Gennaro-Goldfeder 2020, — схема пороговой подписи, которую THORChain использует для распределения контроля ключей сейфа между независимыми операторами. Ни один узел не держит полностью приватный ключ — в нормальных условиях.

Этот недостаток изменил ситуацию. В результате постепенной утечки ключевого материала на нескольких раундах подписания злоумышленник, по сообщениям, восстановил полный приватный ключ сейфа. Когда восстановление завершилось, исходящие транзакции подписывались и транслировались напрямую, полностью вне церемонии GG20.

Реактивный проверяющий платежеспособность обнаружил расхождение в течение нескольких минут. Он зафиксировал, что ожидаемый баланс превышает фактический баланс в блокчейне более чем на 1% на нескольких цепочках, что вызвало автоматические остановки на ETH, AVAX, BSC, BASE, DOGE и GAIA без участия человека. Средства, примерно $10M по первоначальной оценке, уже были переведены.

Discord зажегся до того, как официальная реакция появилась

Когда активность сети остановилась, участник сообщества отметил необычные транзакции: несколько отправлений с маршрутизатора TC на адрес Ethereum без заметки. Этот пост стал первым тревожным сигналом, инициированным человеком. ZachXBT в X предупредил сообщество, что THORChain мог потерять более $10M на Bitcoin, Ethereum, BSC и Base.

Узел xuuu первым поставил ручную паузу на 720 блоков. Другие быстро добавляли дополнительные паузы. Система управления THORChain предназначена именно для этого: один узел не может блокировать сеть навсегда, но несколько независимых узлов, действующих быстро, могут удерживать остановку достаточно долго для расследования. 15 мая примерно 18–20 узлов одновременно поставили паузы.

Последовали официальные голосования по управлению через Discord. Три голосования для операционных параметров были выполнены. HALTTRADING активировался на блоке 26183438. HALTSIGNING — на блоке 26183439. HALTCHAINGLOBAL — на блоке 26183590. HALTCHURNING — на блоке 26183849 — именно для того, чтобы помешать злонамеренному узлу выйти из сети.

Вся сеть была заблокирована примерно за два часа после того, как сообщество подняло тревогу.

Что обнаружило расследование и что оно скрывало

Первое публичное заявление команды разработчиков было сделано в 11:01 15 мая, оценив убытки в 7,4 миллиона долларов и перечислив три исследуемых направления: уязвимость GG20, компрометацию инфраструктуры и другие. Операторам узлов было предложено проверить инфраструктуру и предоставить логи Bifrost.

К 19:10 того же дня ситуация стала яснее. Аналитика на цепочке связала злоумышленный адрес узла thor16ucjv3v695mq283me7esh0wdhajjalengcn84q с Ethereum-адресами, получившими украденные средства. Скорректированная сумма убытков составила примерно 10,7 миллиона долларов. Взаимодействие с Outrider Analytics и правоохранительными органами уже началось, согласно официальному отчету.

В 2026 году в сфере DeFi уже было зафиксировано убытков более $620M только за апрель. Инцидент THORChain усилил опасения по поводу уязвимостей криптографического уровня в инфраструктуре межцепочечных связей.

Выпущен патч, восстановление всё еще в процессе

15 мая маркетинговая команда выпустила предупреждение о мошенничестве. Уже распространялись схемы фальшивых аирдропов и возвратов через соцсети. THORChain подтвердил, что у него нет активных программ возвратов или аирдропов.

К 18 мая был готов патч v3.18.1. Команда разработчиков заявила, что хорошо понимает атаку, но технические детали пока не раскрывает, чтобы другие проекты, использующие ту же реализацию GG20, могли тихо оповестить и исправить свои системы. Всем операторам узлов было предложено снизить масштаб Bifrost перед выпуском.

Полное восстановление зависит от управления сообществом. ADR-028, документ о принятии архитектурных решений, который сейчас обсуждается, определит, как будут обработаны украденные средства. Варианты включают снижение залога и поглощение ликвидности протокола. Ожидается, что выбранный подход будет реализован в версии v3.19.

THORChain уже определил DKLS, более современную схему пороговой подписи, как свою долгосрочную криптографическую цель. Silence Labs был привлечен в ноябре 2025 для разработки индивидуальной реализации DKLS с возможностью прерывания. Планируемая поставка — Q1/Q2 2026. GG20 оставался в производстве в это время. Злоумышленник появился в мае.