Эксплуатация THORChain: экстренная остановка цепи превращается в тест доверия DeFi

15 мая 2023 года на платформе THORChain произошла предполагаемая эксплуатация, что привело к экстренной остановке работы цепи. Этот инцидент стал очередным примером проблем с безопасностью в сфере децентрализованных финансов (DeFi) и испытанием доверия к кросс-цепочному взаимодействию. В ответ на угрозу были активированы экстренные меры, включая остановку всех торговых операций, остановку подписания транзакций, глобальную остановку цепи и остановку процессов обмена.

Объем убытков и масштабы инцидента

Согласно публичным отчетам, предполагаемая эксплуатация затронула такие криптовалюты, как Bitcoin, Ethereum, BSC и Base, что привело к убыткам более 10,7 миллиона долларов. Ранее оценка убытков составляла 7,4 миллиона долларов, однако позже была пересмотрена. Другие оценки указывают на убытки в размере около 10 миллионов долларов, включая 36,75 BTC и примерно 7 миллионов долларов на EVM-связанных цепях. В результате анализа TRM Labs было установлено, что злоумышленник вывел более 11 миллионов долларов через как минимум девять цепей, включая Avalanche, Dogecoin, Litecoin, Bitcoin Cash и XRP.

Эти цифры могут изменяться по мере уточнения данных, однако уже сейчас видно, что инцидент затронул множество маршрутов с нативными активами. Таким образом, остановка работы THORChain оказала последствия, выходящие за рамки самой платформы. Кросс-цепочная ликвидность должна делать криптовалюту более полезной и связанной, но тот же дизайн, который позволяет активам перемещаться между изолированными сетями, может также сжать временные рамки реакции, когда что-то идет не так.

Реакция на инцидент и экстренные меры

Оперативная реакция на инцидент была зафиксирована в экстренной структуре работы сети. Процедуры THORChain описывают остановки сети и цепи как инструменты, которые могут использовать операторы узлов, когда средства находятся под угрозой. Архитектура платформы полагается на наблюдение Bifrost, хранилища и подписание с использованием пороговых подписей для перемещения нативных активов между цепями без их обертывания.

Эти меры могут защитить средства, останавливая дальнейшую активность. Они также показывают, что кросс-цепочная инфраструктура представляет собой стек наблюдателей, валидаторов, хранилищ, логики подписания, операций узлов и экстренных процедур. Когда этот стек подвергается испытанию, рынок задается вопросом, может ли быть исправлена одна ошибка и может ли система оставаться надежной, пока сама реакция нарушает маршрутизацию.

Тест доверия и последствия для рынка

Ущерб от эксплуатации редко ограничивается только выведенными средствами. Согласно отчету Immunefi за 2026 год, средняя прямая кража составляет 25 миллионов долларов, в то время как медианная потеря составляет 2,2 миллиона долларов. Этот разрыв показывает, что рынок, хотя и может улучшить рутинные меры защиты, все же определяется крупнейшими инцидентами, которые подрывают доверие к платформам.

В том же отчете было установлено, что пять крупнейших хакерских атак в 2024 и 2025 годах составили 62% украденных средств, а токены, подвергшиеся взломам, показали медианное снижение на 61% в течение шести месяцев. Эти перемещения токенов нельзя четко отделить от рыночных условий или специфических слабостей проектов. Тем не менее, такая закономерность поддерживает основную реакцию рынка: эксплуатации становятся долгосрочными бизнес-событиями, которые истощают капитал, требуют времени команды, замедляют интеграции и заставляют партнеров сомневаться в том, не станет ли следующая неудача косвенно касаться их.

Проблемы соблюдения и репутационные риски

Позиция THORChain особенно чувствительна, поскольку протокол сочетает в себе уязвимость и роль маршрутизатора в крупных инцидентах, связанных с отмыванием денег. На момент инцидента 15 мая не было публичной атрибуции действий злоумышленников, что отделяет текущий случай от предыдущих случаев отмывания, если только новые доказательства не изменят ситуацию. Анализ THORChain показал, что протокол является повторяющимся маршрутом для перемещения украденных средств, включая потоки, связанные с инцидентами Bybit и KelpDAO.

Такое давление стало очевидным после того, как средства, связанные с Lazarus, переместились через протокол THORChain, когда возникли напряжения между разработчиками и валидаторами. Федеральные следователи приписали кражу Bybit в феврале 2025 года, составившую около 1,5 миллиарда долларов в виртуальных активах, действиям Северной Кореи. Это подчеркивает текущий инцидент, поскольку протокол может быть полезным, делая нативные кросс-цепочные обмены эффективными, но та же полезность может сделать его привлекательным для злоумышленников и трудным для команд по соблюдению норм.

Заключение

Следующий этап начинается с необходимости не только сообщения о восстановлении: THORChain должна представить четкий постмортем, согласовать окончательную сумму убытков и количество цепей, объяснить коренную причину без спекуляций и показать, что изменилось в ее хранилище, управлении ключами, узлах, мониторинге и процессах остановки. Подробности о восстановлении могут помочь минимизировать ущерб для пользователей, оставляя при этом вопрос инфраструктуры неразрешенным.

Если THORChain завершит компенсацию, безопасно возобновит работу и задокументирует надежное исправление, инцидент может остаться серьезным, но ограниченным ударом по доверию. Если коренная причина останется неясной, окончательный учет будет продолжать меняться, или интеграции будут отозваны, событие станет еще одной точкой данных в более широком переоценивании кросс-цепочного DeFi. Сектор стремится представить себя как надежную финансовую инфраструктуру, но каждый крупный кросс-цепочный инцидент делает это утверждение более трудным для защиты, пока индустрия не сможет продемонстрировать, что мосты, хранилища, системы подписания и экстренные меры, соединяющие ее рынки, столь же зрелы, как и капитал, который они стремятся привлечь.