Новий вузол чекав два тижні. Потім він взяв $10,7 млн з THORChain

** Зловмисний оператор вузла вивів з обігу 10,7 мільйонів доларів з THORChain 15 травня через вразливість GG20. Ось повна хронологія, реакція безпеки та що буде далі.**

Хтось приєднався до Discord розробників THORChain 1 травня під ім’ям Dinosauruss. Обліковий запис був новим. Питання були конкретними — як запустити вузол у мережу та як швидко. Стандартний триденний інтервал для ротації вже був затриманий через інші причини, тому довелося чекати.

Згідно з доповіддю про експлуатацію THORChain №1, опублікованою 20 травня, адреса вузла зловмисника (n84q) нарешті увійшов до активного набору валідаторів 13 травня. Близько 635 000 RUNE на двох адресах для бондів. Випадковим чином призначені одному з п’яти сейфів, як і будь-який інший оператор.

Вузол, що потрапив і ніколи не покинув

Протягом двох днів вузол брав участь у рутинних церемоніях підписання GG20. Нічого підозрілого не з’являлося. GG20, або Gennaro-Goldfeder 2020, — це схема порогового підпису, яку THORChain використовує для розподілу контролю ключів сейфу між незалежними операторами. Жоден вузол не тримає повний приватний ключ — за нормальних умов.

Ця вразливість змінила ситуацію. Завдяки поступовій витоку матеріалу ключа через кілька раундів підписання, зловмисник нібито відновив повний приватний ключ сейфу. Коли відновлення було завершено, вихідні транзакції підписувалися та транслювалися безпосередньо, зовсім поза церемонією GG20.

Реактивний перевіряльник платоспроможності виявив відхилення за кілька хвилин. Він зафіксував, що очікуваний баланс перевищує фактичний баланс у мережі більш ніж на 1% на кількох ланцюгах, що спричинило автоматичні зупинки на ETH, AVAX, BSC, BASE, DOGE і GAIA без участі людини. Фонди, приблизно $10M за першим оцінюванням, вже були переміщені.

Discord запалав раніше, ніж офіційна реакція

Коли активність у мережі зупинилася, учасник спільноти повідомив про підозрілі транзакції: кілька відправлень з маршрутизатора TC на адресу Ethereum без мемо. Це повідомлення стало першим людським попередженням. ZachXBT у X попередив спільноту, що THORChain міг втратити понад $10M на Bitcoin, Ethereum, BSC і Base.

Вузол xuuu першим запустив ручну паузу на 720 блоків. Інші швидко додали ще пауз. Система управління THORChain створена саме для цього: один вузол не може блокувати мережу безкінечно, але кілька незалежних вузлів, що діють швидко, можуть утримувати зупинку достатньо довго для розслідування. 15 травня приблизно 18-20 вузлів одночасно наклали паузи.

Формальні голосування управління Mimir відбулися через Discord. Триголосовий поріг для операційних параметрів був досягнутий. HALTTRADING активувався на блоці 26183438. HALTSIGNING — на блоці 26183439. HALTCHAINGLOBAL — на блоці 26183590. HALTCHURNING — на блоці 26183849 — саме цей для запобігання виходу зловмисного вузла з мережі.

Вся мережа була заблокована приблизно за дві години після того, як спільнота підняла тривогу.

Що виявило розслідування і що воно приховувало

Перша публічна заява команди розробників з’явилася о 11:01 15 травня, оцінюючи збитки у $7,4М і перераховуючи три вектори розслідування: вразливість GG20, компрометація інфраструктури та інші. Операторам вузлів було запропоновано перевірити інфраструктуру та подати журнали Bifrost.

До 19:10 того ж дня ситуація стала яснішою. На основі аналізу блокчейну було встановлено, що зловмисний адреса вузла thor16ucjv3v695mq283me7esh0wdhajjalengcn84q пов’язана з Ethereum-адресами, які отримали викрадені кошти. Оновлена сума збитків склала приблизно $10,7М. Уже йшла координація з Outrider Analytics і правоохоронними органами, згідно з офіційним звітом.

У 2026 році ландшафт безпеки DeFi вже зазнав збитків $620M через квітень. Інцидент THORChain додав ваги побоюванням щодо вразливостей криптографічного рівня у міжланцюговій інфраструктурі.

Випущено патч, відновлення ще триває

15 травня маркетингова команда випустила попередження про шахрайство. Уже поширювалися фальшиві схеми роздач та повернень через соцмережі. THORChain підтвердив, що у нього немає активних програм повернення коштів або роздач.

До 18 травня був майже готовий патч v3.18.1. Команда розробників заявила, що має чітке розуміння атаки, але утримається від технічних деталей, поки інші проєкти, що використовують ту ж реалізацію GG20, не повідомлять про вразливість і не виправлять свої системи. Всі оператори вузлів були попросені зменшити масштаби Bifrost перед релізом.

Повне відновлення залежить від управління спільнотою. ADR-028, Архітектурний запис рішення, що наразі обговорюється, визначить, як будуть оброблені втрачені кошти. Варіанти, що обговорюються, включають зниження бондів і поглинання ліквідності, що належить протоколу. Очікується, що обраний підхід буде реалізовано у версії v3.19.

THORChain вже визначив DKLS, більш сучасну схему порогового підпису, як свою довгострокову криптографічну ціль. Silence Labs було залучено у листопаді 2025 для створення власної реалізації DKLS з можливістю скасування. Планова доставка — Q1/Q2 2026. GG20 залишався в виробництві тим часом. Зловмисник з’явився у травні.