Podejrzewany exploit multichain THORChain i awaryjne zatrzymanie 15 maja stały się kolejnym incydentem bezpieczeństwa DeFi oraz kolejnym testem zaufania do cross-chain.
Awaryjne mechanizmy kontrolne obejmowały zatrzymania specyficzne dla poszczególnych łańcuchów: Halt All Trading, Halt Signing, Halt Chain Global, Halt Churning oraz wielokrotne globalne aktualizacje pauzy węzłów.
Jeden z publicznych alertów opisał prawdopodobny exploit dotykający Bitcoin, Ethereum, BSC i Base, powodując straty przekraczające 10,7 miliona dolarów, zrewidowane z wcześniejszego szacunku wynoszącego 7,4 miliona dolarów.
Inne szacunki bezpieczeństwa określiły straty na około 10 milionów dolarów, w tym 36,75 BTC i około 7 milionów dolarów na BNB Chain, Ethereum i Base.
Zakres łańcuchów został później rozszerzony w ocenie TRM Labs, która poinformowała, że atakujący wyprowadził ponad 11 milionów dolarów z co najmniej dziewięciu łańcuchów. Obejmowały one Avalanche, Dogecoin, Litecoin, Bitcoin Cash i XRP, oprócz początkowych czterech łańcuchów. Liczby mogą się jeszcze zmienić w miarę weryfikacji rozliczeń, jednak dostępne dane wskazują na zdarzenie w infrastrukturze multichain dotykające kilku tras natywnych aktywów.
Zatrzymanie miało zatem konsekwencje wykraczające poza THORChain. Płynność cross-chain ma sprawiać, że kryptowaluty są bardziej użyteczne, płynne i połączone. Jednak ten sam projekt, który umożliwia przenoszenie aktywów między izolowanymi sieciami, może również skrócić okno reakcji, gdy coś pójdzie nie tak.
W tym przypadku obietnica DeFi dotycząca płynnego routingu zderzył się wprost z koniecznością awaryjnego zatrzymania.
Zatrzymanie Stało Się Sygnałem
Reakcja operacyjna jest udokumentowana w awaryjnych procedurach łańcucha. Procedury THORChain opisują zatrzymania sieci i łańcuchów jako narzędzia, z których operatorzy węzłów mogą korzystać, gdy środki są zagrożone.
Jego architektura opiera się na obserwacji Bifrost, skarbcach i podpisywaniu progowym (threshold-signature) w celu przenoszenia natywnych aktywów między łańcuchami bez ich owijania.
Mechanizmy te mogą chronić środki poprzez zatrzymanie dalszej aktywności. Pokazują również, że infrastruktura cross-chain to stos obserwatorów, walidatorów, skarbców, logiki podpisywania, operacji węzłów i procedur awaryjnych.
Gdy ten stos jest testowany, rynek pyta, czy pojedynczy błąd można załatać i czy system może pozostać wiarygodny, gdy sama reakcja zakłóca routing.
Uważam, że to rozróżnienie włącza incydent THORChain w szerszą narrację DeFi. Od dojrzałej infrastruktury finansowej oczekuje się bezpiecznego zawodzenia, szybkiego wyjaśniania i przywracania zaufania poprzez udokumentowaną przyczynę źródłową.
DeFi często porusza się szybciej niż ten standard. Wdraża integracje, nowe łańcuchy i trasy płynności, zanim użytkownicy i instytucje będą w stanie wycenić pełne ryzyko operacyjne.
Zwięzła tabela zaufania podsumowuje aktualny stan wiedzy:
| Sygnał | Co jest potwierdzone | Co pozostaje nierozstrzygnięte |
|---|---|---|
| Wstępny alert bezpieczeństwa | Prawdopodobny exploit na Bitcoin, Ethereum, BSC i Base o wartości ponad 10,7 miliona dolarów. | Ostateczne rozliczenie strat i pełny zakres łańcuchów. |
| Niezależne szacunki | Około 10 milionów dolarów, w tym 36,75 BTC i około 7 milionów dolarów na łańcuchach EVM. | Czy wszystkie dotknięte aktywa i adresy zostały w pełni uzgodnione. |
| Zakres analityczny | Ponad 11 milionów dolarów na co najmniej dziewięciu łańcuchach. | Jak szerszy zakres odnosi się do ostatecznego postmortem THORChain. |
| Mechanizmy awaryjne | Aktywowano kontrole handlu, podpisywania, globalnej aktywności łańcucha i churning. | Jak szybko zatrzymanie ograniczyło szkody i jaka aktywność została wznowiona. |
| Potwierdzenie protokołu | Jeden z sześciu skarbców Asgard został podobno skompromitowany na około 10,7 miliona dolarów; wstępne informacje wskazywały, że indywidualne swapy nie były dotknięte. | Ostateczna przyczyna źródłowa, ostateczne rozliczenie wpływu na użytkowników i szczegóły postmortem. |
Dyskonto Zaufania Jest Teraz Mierzalne
Szkody wynikające z exploitów rzadko kończą się na opróżnionym portfelu. Wyniki bezpieczeństwa Immunefi za 2026 rok wskazują, że średnia bezpośrednia kradzież wynosi 25 milionów dolarów, podczas gdy mediana strat spadła do 2,2 miliona dolarów.
Ta różnica pokazuje rynek, na którym rutynowe zabezpieczenia mogą się poprawiać, podczas gdy największe incydenty nadal definiują zaufanie.
Ten sam raport wykazał, że pięć największych włamań w 2024 i 2025 roku odpowiadało za 62% skradzionych środków, a zhakowane tokeny odnotowały medianowy sześciomiesięczny spadek o 61%.
Tych ruchów tokenów nie można w każdym przypadku wyraźnie oddzielić od warunków rynkowych lub słabości specyficznych dla projektu. Mimo to wzorzec potwierdza podstawową reakcję rynkową: exploity stają się długookresowymi zdarzeniami biznesowymi.
Odprowadzają kapitał, pochłaniają czas zespołu, spowalniają integracje i skłaniają partnerów do pytania, czy kolejna awaria nie dotknie ich pośrednio.
Dyskonto zaufania odzwierciedla dodatkową warstwę sceptycyzmu wobec sektora, który chce być traktowany jako infrastruktura finansowa, a mimo to nadal generuje awarie wyglądające jak ćwiczenia kryzysowe.
Użytkownicy, giełdy, animatorzy rynku, depozytariusze i instytucje wymagają więcej dowodów, aby zaufać dostępności protokołu, monitoringowi, zarządzaniu kluczami i procedurom awaryjnym.
Niedawne incydenty cross-chain wzmacniają ten punkt. W exploicie mostu KelpDAO atakujący zaatakowali infrastrukturę weryfikacji off-chain i monitorowania łańcucha źródłowego, a nie konwencjonalny błąd w smart kontrakcie.
Rezultatem był fałszywy obraz rzeczywistości, który doprowadził do tego, że transakcje wyglądające na prawidłowe uwalniały środki. Obawy dotyczące bezpieczeństwa mostów już wpłynęły na decyzje infrastrukturalne, w tym na decyzję Kraken o używaniu Chainlink CCIP dla kBTC i przyszłych owijanych aktywów po szoku KelpDAO.
To sprawia, że zatrzymanie THORChain wydaje się mniej odosobnione. Sektor jest zmuszony udowodnić, że ścieżka zaufania między łańcuchami jest obserwowalna, redundantna i kontrolowalna, zanim przez nią zostaną przekierowane miliardy dolarów płynności.
Dla użytkowników instytucjonalnych kwestia staje się operacyjnym due diligence. Ekspozycja cross-chain dotyka polityki przechowywania, zobowiązań płynnościowych, reakcji na incydenty i przeglądów kontrahentów.
Protokół, który kieruje natywnymi aktywami między łańcuchami, musi udowodnić, że monitoring i proces awaryjny wokół tego routingu są równie silne jak sama łączność.
Dla twórców zmienia to definicję postępu. Nowe trasy i integracje mogą pogłębiać płynność, ale tworzą też więcej powierzchni wymagających monitoringu, zarządzania kluczami i reakcji na incydenty.
Kolejne zyski w zakresie wiarygodności przyjdą z pokazania, że mechanizmy kontrolne skalują się wraz z płynnością, zanim awaria zmusi kontrahentów do rewizji założeń.
THORChain Nosi Również Warstwę Zgodności
Pozycja THORChain jest szczególnie wrażliwa, ponieważ protokół łączy powierzchnię ataku z rolą routingu w głównych epizodach nielegalnych przepływów.
Według raportu TRM exploit z 15 maja nie miał publicznej atrybucji sprawcy. To zastrzeżenie utrzymuje bieżący incydent oddzielnie od wcześniejszych przypadków prania pieniędzy, chyba że nowe dowody zmienią stan wiedzy.
Ta sama analiza opisała THORChain jako powtarzającą się szynę do przenoszenia skradzionych środków, w tym przepływów powiązanych z incydentami Bybit i KelpDAO.
Ta presja była wyraźna po tym, jak środki Bybit powiązane z Lazarusem przeszły przez protokół, gdy THORChain stanął wobec napięć między deweloperami a walidatorami.
Federalni śledczy przypisali kradzież Bybit z lutego 2025 roku, obejmującą około 1,5 miliarda dolarów w wirtualnych aktywach, działalności TraderTraitor Korei Północnej.
FBI wezwało również prywatne podmioty kryptowalutowe, w tym usługi DeFi i mosty, do blokowania transakcji na adresy lub z adresów powiązanych z praniem pieniędzy.
Ta historia wyostrza bieżący epizod. Protokół może być użyteczny, ponieważ sprawia, że natywne swapy cross-chain są wydajne. Ta sama użyteczność może czynić go atrakcyjnym dla atakujących i trudnym do zignorowania przez zespoły ds. zgodności.
Gdy protokół jest postrzegany zarówno jako podatna na exploity infrastruktura, jak i trasa dla nielegalnych środków, kontrahenci muszą wycenić więcej niż tylko ryzyko smart kontraktu.
Muszą wycenić zakłócenia operacyjne, ekspozycję na screening i ryzyko, że integracje staną się zobowiązaniami reputacyjnymi.
Reakcja ceny RUNE pozostaje drugorzędna. Dane rynkowe z 16 maja wskazywały cenę RUNE na poziomie około 0,44 dolara, co oznacza spadek o 21,90% w ciągu 24 godzin.
Szerszy rynek kryptowalut oscylował w pobliżu 2,61 biliona dolarów, a dominacja Bitcoin wynosiła 60,2%. Rynek zauważył incydent, ale ważniejsze pytanie brzmi, czy dostawcy płynności, interfejsy routingu, integracje portfeli i działy ds. zgodności zmienią zachowanie po zatrzymaniu.
Ważny sygnał rynkowy przyjdzie z kolejnego zestawu decyzji operacyjnych, a nie z jednodniowego wykresu. Interfejsy płynności mogą omijać protokoły wprowadzające niepewność; depozytariusze i animatorzy rynku mogą podnosić wewnętrzne oceny ryzyka.
Zespoły ds. zgodności mogą domagać się lepszego screeningu i dokumentacji incydentów przed wspieraniem integracji. Te reakcje są wolniejsze niż wyprzedaż tokenów, ale w ten sposób zdarzenie bezpieczeństwa staje się trwałym dyskontem zaufania.
To jest wolniejsza reycena, którą zauważają instytucje. Pojawia się w pytaniach due diligence, kolejkach integracji i limitach ryzyka długo po tym, jak awaryjne zatrzymanie znika z kanału alertów.
Następnym Testem Jest Postmortem
Następny test zaczyna się od czegoś więcej niż komunikatu o odzyskaniu: THORChain musi sporządzić jasne postmortem, uzgodnić ostateczną kwotę strat i liczbę łańcuchów, wyjaśnić przyczynę źródłową bez spekulacji i pokazać, co zmieniło się w procesach skarbca, zarządzania kluczami, węzłów, monitoringu i zatrzymania.
Szczegóły dotyczące odzyskania środków mogą pomóc ograniczyć szkody użytkowników, pozostawiając jednocześnie kwestię infrastruktury otwartą.
Jeśli THORChain zakończy kompensację, wznowi działalność bezpiecznie i udokumentuje wiarygodną poprawkę, incydent może pozostać poważnym, ale ograniczonym uszczerbkiem na zaufaniu.
Jeśli przyczyna źródłowa pozostanie nieustalona, ostateczne rozliczenie będzie się nadal zmieniać lub integracje zostaną wycofane, zdarzenie stanie się kolejnym punktem danych w szerszej rewycenie cross-chain DeFi.
To jest konsekwencja na poziomie sektora. DeFi chce przedstawiać się jako trwała, zawsze dostępna infrastruktura finansowa.
Każdy poważny exploit cross-chain sprawia, że to twierdzenie jest trudniejsze do obrony, dopóki branża nie wykaże, że mosty, skarbce, systemy podpisywania i awaryjne mechanizmy kontrolne łączące jej rynki są równie dojrzałe jak kapitał, który chcą przyciągać.
Source: https://cryptoslate.com/thorchain-exploit-defi-halt-trust-test/
