Restart sieci THORChain poddany pod głosowanie operatorów węzłów w sprawie ADR028

THORChain otworzył głosowanie governance dla operatorów węzłów w ramach drogi do wznowienia działalności po exploicie z 15 maja, który opróżnił z pojedynczego vaultu około 10,7 miliona dolarów.

Propozycja o nazwie ADR-028 określa, w jaki sposób sieć pochłonie straty i wznowi działalność.

Jakie luki doprowadziły do exploitu THORChain?

Według doniesień złośliwy aktor dołączył do sieci jako operator węzła dwa dni przed atakiem. Następnie wykorzystał lukę w schemacie progowego podpisu GG20 THORChain (TSS) — systemie kryptograficznym, który rozdziela kontrolę nad kluczem vaultu pomiędzy wiele niezależnych węzłów, tak aby żaden pojedynczy operator nigdy nie posiadał pełnego klucza prywatnego.

Tylko jeden z pięciu vaultów został dotknięty atakiem. Firma bezpieczeństwa PeckShieldAlert oszacowała łup na około 10 milionów dolarów, podzielonych między 36,75 BTC (ok. 3 milionów dolarów w tamtym czasie) oraz około 7 milionów dolarów w aktywach na Ethereum, BNB Chain i Base. Własna analiza poincydentalna THORChain wyceniła stratę na 10,7 miliona dolarów.

Protokół poinformował, że atak został wykryty w ciągu kilku minut, a zatrzymania handlu na poziomie sieci zostały uruchomione, gdy operatorzy węzłów wprowadzili ręczne pauzy za pośrednictwem systemu governance, co doprowadziło do całkowitego blokowania sieci w ciągu około dwóch godzin od alarmu.

RUNE, natywny token THORChain, spadł o ponad 21% w dniach następujących po naruszeniu. Obecnie handluje się nim po około 0,44 dolara według danych CoinMarketCap.

Co proponuje ADR-028?

ADR-028 zostało opublikowane przez THORChain na GitLab z otwarciem głosowania dla operatorów węzłów. Post protokołu na X stwierdził, że plan odbudowy zakłada, że THORChain „najpierw pochłonie stratę poprzez Płynność Będącą Własnością Protokołu", dodając, że reszta straty zostanie rozłożona na posiadaczy synthów.

Oznacza to, że płynność będąca własnością protokołu zostanie zredukowana do zera, a THORChain stwierdza, że „ADR proponuje przekierowanie części dochodu systemowego na jej uzupełnienie w czasie."

Poinformowano, że GG20 zostało załatane i zaktualizowane, dodając, że węzły niezwiązane z atakującym, ale dotknięte atakiem z powodu znajdowania się w tym samym vaulcie, nie zostaną ukarane slash'owaniem. Propozycja zakłada również zaoferowanie atakującemu 10% nagrody w zamian za zwrot środków.

Na GitLab komentator używający pseudonimu podzielił się swoją opinią na temat propozycji, podnosząc dwie kwestie.

Pierwsza z nich dotyczyła usunięcia sekcji o nagrodzie dla atakującego z ADR, stwierdzając, że powinno to być obsługiwane przez kryminalistykę i organy ścigania. Druga kwestia dotyczyła stałego przeznaczenia przychodów systemowych na zewnętrzne audyty bezpieczeństwa, testy adversarialne warstwy TSS oraz finansowany program nagród za błędy z powiązanymi bramkami wydania.

„Zgodnie z zapisem plan odbudowuje płynność jednego vaultu, ale nie finansuje jeszcze niczego przeciwko ponownemu wystąpieniu" — napisał komentator we fragmencie na GitLab. „Warto naprawić przyczynę jednocześnie z bilansem."

Ślad atakującego

Firma analityki blockchain Chainalysis opublikowała dowody on-chain 16 maja, łącząc atakującego z portfelami, które zostały zasilone tygodnie przed kradzieżą. Firma prześledziła ruchy atakującego przez Monero, Hyperliquid i sam THORChain.

Jeden portfel zdeponował XMR poprzez most prywatności Hyperliquid-Monero pod koniec kwietnia, zamienił wynikającą z tego pozycję na USDC, a następnie wypłacił do Arbitrum i przerzucił na Ethereum. Pośrednik przekazał następnie 8 ETH do portfela odbiorczego atakującego zaledwie 43 minuty przed przybyciem skradzionych środków, według Chainalysis.

Co stanie się teraz z THORChain? 

Głosowanie operatorów węzłów nad ADR-028 zadecyduje, czy THORChain wznowi działalność w ramach proponowanego planu odbudowy, czy też wymaga dalszych korekt. 

THORChain zidentyfikował już nowocześniejszy schemat podpisu zwany DKLS jako długoterminowe zastępstwo dla GG20 i zaangażował Silence Labs w listopadzie 2025 roku do zbudowania niestandardowej implementacji, z planowanym dostarczeniem w I lub II kwartale 2026 roku, zgodnie z raportem o exploicie.

Jeśli to czytasz, jesteś już o krok do przodu. Pozostań tam dzięki naszemu newsletterowi.