Перезапуск сети THORChain выносится на голосование: операторы нод голосуют по ADR028

THORChain открыл голосование по управлению для операторов нод на пути к возобновлению работы после эксплойта 15 мая, в результате которого из одного хранилища было похищено около 10,7 млн $.

Предложение, получившее название ADR-028, определяет, как сеть будет покрывать убытки и возобновит операции.

Какие уязвимости привели к эксплойту THORChain?

По имеющимся данным, злоумышленник вступил в сеть в качестве оператора ноды за два дня до атаки. Затем он воспользовался уязвимостью в схеме пороговой подписи GG20 THORChain (TSS) — криптографической системе, которая распределяет управление ключами хранилища между несколькими независимыми нодами, так что ни один оператор никогда не владеет полным приватным ключом.

Было затронуто только одно из пяти хранилищ. Компания по безопасности PeckShieldAlert оценила похищенную сумму примерно в 10 млн $, из которых 36,75 BTC (около 3 млн $ на тот момент) и приблизительно 7 млн $ в активах на блокчейнах Ethereum, BNB Chain и Base. Собственный анализ THORChain после инцидента установил сумму в 10,7 млн $.

Протокол сообщил, что атака была обнаружена в течение нескольких минут, а операторы нод активировали торговые остановки на уровне сети, введя ручные паузы через систему управления, что привело к полной блокировке сети примерно через два часа после сигнала тревоги.

RUNE, нативный токен THORChain, упал более чем на 21% в дни, последовавшие за взломом. В настоящее время он торгуется около 0,44 $ по данным CoinMarketCap.

Что предлагает ADR-028?

ADR-028 был опубликован THORChain на GitLab с открытием голосования для операторов нод. В публикации в X протокол заявил, что план восстановления предусматривает, что THORChain «сначала покроет убытки за счёт ликвидности, принадлежащей протоколу», добавив, что оставшиеся убытки будут распределены между держателями синтетических активов.

Это означает, что ликвидность, принадлежащая протоколу, будет снижена до нуля, а THORChain заявляет, что «ADR предлагает перенаправить часть системного дохода для её пополнения со временем».

Также сообщается, что GG20 был исправлен и обновлён, а ноды, не связанные с атакующим, но пострадавшие из-за нахождения в том же хранилище, не будут подвергнуты штрафным санкциям. Кроме того, предлагается предложить атакующему 10% вознаграждения в обмен на возврат средств.

На GitLab один из комментаторов оставил отзыв о предложении, подняв два вопроса.

Первый — исключить раздел о вознаграждении атакующему из ADR, указав, что этим должны заниматься криминалистика и правоохранительные органы. Второй — добиться постоянного выделения части системного дохода на внешние аудиты безопасности, adversarial-проверку уровня TSS и финансируемую программу bug bounty с привязанными к ней условиями выпуска.

«Как написано, план восстанавливает ликвидность одного хранилища, но пока не финансирует ничего против повторного возникновения проблемы», — написал комментатор на GitLab. «Стоит устранить причину наряду с балансом».

След атакующего

Компания по блокчейн-аналитике Chainalysis опубликовала on-chain доказательства 16 мая, связывающие атакующего с кошельками, которые были пополнены за несколько недель до кражи. Компания отследила передвижения атакующего через Monero, Hyperliquid и сам THORChain.

Один кошелёк пополнил XMR через приватный мост Hyperliquid-Monero в конце апреля, обменял полученную позицию на USDC, затем вывел средства в Arbitrum и перевёл их в Ethereum. После этого посредник перевёл 8 ETH на принимающий кошелёк атакующего всего за 43 минуты до поступления похищенных средств, согласно данным Chainalysis.

Что будет с THORChain теперь? 

Голосование операторов нод по ADR-028 определит, перезапустится ли THORChain в рамках предложенного плана восстановления или потребуются дальнейшие доработки. 

THORChain уже определил более современную схему подписи под названием DKLS в качестве долгосрочной замены GG20 и привлёк Silence Labs в ноябре 2025 года для создания кастомной реализации с целевым сроком поставки в I или II квартале 2026 года, согласно отчёту об эксплойте.

Если вы читаете это, вы уже на шаг впереди. Оставайтесь там с нашей рассылкой.