10,000 USDT 悬赏,寻找Gate广场跟单金牌星探!🕵️♀️
挖掘顶级带单员,赢取高额跟单体验金!
立即参与:https://www.gate.com/campaigns/4624
🎁 三大活动,奖金叠满:
1️⃣ 慧眼识英:发帖推荐带单员,分享跟单体验,抽 100 位送 30 USDT!
2️⃣ 强力应援:晒出你的跟单截图,为大神打 Call,抽 120 位送 50 USDT!
3️⃣ 社交达人:同步至 X/Twitter,凭流量赢取 100 USDT!
📍 标签: #跟单金牌星探 #GateCopyTrading
⏰ 限时: 4/22 16:00 - 5/10 16:00 (UTC+8)
详情:https://www.gate.com/announcements/article/50848
THORChain 在多链漏洞导致超过一千万美元被盗后停止所有交易
去中心化跨链流动性协议 THORChain 在周四晚些时候暂停了所有交易,此前区块链调查员 ZachXBT 指出了疑似一场“全面性”的漏洞利用。该警报在社交渠道中传播,警告称该协议已遭到来自比特币、以太坊、BNB Smart Chain 和 Base 的攻击,临时的损失估算已经超过 1000 万美元。
THORChain 的核心团队随后采取全球紧急停止行动,冻结全网所有兑换与流动性操作。这是该协议可用的最为激烈的保护措施之一;该协议支持无需包裹代币或中心化中介的原生资产交换。然而,正是这种设计——依赖跨不同链的节点网络与持续运作的流动性池——如今似乎反过来成为了其被攻击的切入点。
协议架构与攻击面
与桥接协议不同,桥接协议通常会在一条链上锁定资产,并在另一条链上铸造合成版本,而 THORChain 使用原生池,用户在其中存入真实资产。这消除了包裹代币的风险,但却把安全责任完全转移到协议自身的逻辑以及节点运营者身上。一场同时覆盖四条主要链的攻击,暗示可能存在核心兑换机制中的逻辑漏洞、验证者层面的被攻破,或是通过复杂的套利操控在协调窗口内将多个池子的流动性抽干。
参与此次攻击的各条链,均属于本周根据链上指标所追踪的开发者活跃度最高的区块链集合。比特币、以太坊、BSC 和 Base 各自都托管着深厚的流动性与活跃的 DeFi 生态系统,使其成为颇具吸引力的目标。该漏洞的跨链性质也立刻引发疑问:THORChain 的节点运营者是否未能足够早期地发现攻击,或者协议的跨链消息处理是否存在缺陷。
ZachXBT 的初始警报并未详细说明具体的攻击路径,而链上数据仍在被安全研究人员拆解分析。1000 万美元这一数字是在警报发布时可见的已被抽取金额;待所有池子余额完成核对后,最终损失可能还会进一步攀升。此次事件凸显了跨链基础设施长期面临的挑战:随着每一次新增链集成,攻击面都会随之扩大;即便是较小的错误配置,也可能连锁引发八位数美元级别的损失。
紧急停止与市场反应
全球紧急停止——一种会暂停全部兑换功能的极端举措——旨在争取时间。验证者与开发者可以在不发生进一步资产泄漏的情况下评估损害。然而对用户而言,这意味着流动性被冻结。任何在 THORChain 池中持有资产的人都无法在紧急停止解除前提取或进行再平衡,从而立即引发了对资本效率的担忧,尤其会影响依赖该协议的收益策略与套利者。
从历史经验来看,触发全面停止的跨链漏洞往往需要数天甚至数周才能解决。调查人员必须追踪被盗资金在多个区块链之间的流动,与交易所和执法机构进行协调,并判断是否能在不进行完整协议升级的情况下实现修补。在此期间,原生代币 RUNE 面临集中抛售压力,尽管其在更广泛的 DeFi 交易量下滑背景下,早已一度在周期高点之下运行。
时间安排又增加了一层摩擦。主要链上的 DeFi 活动较为冷清,流动性提供者也已对无常损失和智能合约风险感到担忧。发生在“以比传统桥更安全的替代方案”自我营销的协议上的多链漏洞,可能会加速资金向中心化交易所的收益产品或更简单的单链质押方案进行轮动。
跨链基础设施的反复噩梦
THORChain 事件发生在桥接与跨链漏洞已在过去 5 年中从生态系统抽走数十亿美元的背景之下。Wormhole、Ronin、Poly Network 和 Multichain 都曾遭受过高调攻击,往往是由验证者密钥泄露或升级机制存在缺陷所触发。每一次突破都再次印证一个残酷现实:跨链通信依旧是加密货币技术栈中最脆弱的环节之一。
本次事件的不同之处在于,它对比特币以及三个智能合约平台造成了同步影响。比特币原生的 DeFi 仍处于起步阶段,而 THORChain 是少数几个能够实现真正原生 BTC 兑换、无需托管包裹的协议之一。若某次漏洞让这条路径受损,可能会减缓机构与散户对比特币在 DeFi 领域的采用,使用户不得不回到中心化交易所或诸如 WBTC 这类包裹比特币方案;这些方案同样带有自身的信任假设。
安全审计人员现在将会逐一翻查暂停发生前的节点运营者日志以及池子再平衡事件。协议的经济安全设计——即由节点运营者抵押 RUNE 以保障网络安全——也将受到审视。如果漏洞源自治理失误,或是削减机制存在缺陷,而该机制本应惩罚恶意运营者,那么造成的损害可能不仅限于即时的财务损失,还可能波及 THORChain 安全模型本身的可信度。
尚不清楚的内容
目前仍缺少若干关键细节。具体的漏洞机制尚未披露,这意味着无法判断该漏洞是仅限于 THORChain 的代码库,还是其他采用类似架构的跨链协议也共享相同风险。攻击者身份以及是否有资金被中心化稳定币发行方或交易所冻结同样未知。虽然一些跨链漏洞最终会通过白帽谈判或执法行动实现部分恢复,但此次多链扩散的迹象表明,攻击者很可能是一个有资源、准备充分且高度坚定的对手。
对用户与流动性提供者来说,最迫切的问题是:暂停将持续多久?是否能够在不进行治理投票或合约迁移的情况下恢复全部池子功能?其他 DeFi 项目中发生过的协议冻结历史表明,若根因需要进行大规模重构,恢复可能会拖延数周。任何恢复兑换的延迟都将考验 THORChain 流动性基础的忠诚度,尤其是在竞争性的跨链解决方案仍在不断涌现的情况下。
就目前而言,唯一确定的是:这次漏洞让支撑大量 DeFi 未来愿景的跨链叙事出现了新的裂缝。未来数天市场的反应,将揭示这是否仅被视为单一协议的失误,还是整个基础设施类别的警示信号。