Эксплуатация THORChain превращает экстренную остановку цепи в тест доверия DeFi

15 мая 2023 года произошел инцидент с предполагаемой эксплуатацией многосетевой инфраструктуры THORChain, который привел к экстренной остановке работы цепи. Этот случай стал еще одним примером проблем с безопасностью в сфере децентрализованных финансов (DeFi) и проверкой доверия между различными цепями. В ответ на угрозу были активированы экстренные меры, включая остановку торговли, остановку подписания, глобальную остановку цепи и обновления паузы для узлов.

Объем потерь и последствия инцидента

Согласно публичному уведомлению, предполагаемая эксплуатация затронула такие криптовалюты, как Bitcoin, Ethereum, BSC и Base, приведя к потерям более 10,7 миллиона долларов, что было пересмотрено с первоначальной оценки в 7,4 миллиона долларов. Другие оценки потерь составили около 10 миллионов долларов, включая 36,75 BTC и примерно 7 миллионов долларов на BNB Chain, Ethereum и Base. В ходе дальнейшего анализа от TRM Labs выяснилось, что злоумышленник вывел более 11 миллионов долларов через как минимум девять цепей, включая Avalanche, Dogecoin, Litecoin, Bitcoin Cash и XRP, помимо первоначально упомянутых четырех цепей.

Эти цифры могут измениться по мере уточнения учета, но уже сейчас видно, что инцидент затронул многосетевую инфраструктуру и несколько направлений с нативными активами. Остановка работы цепи имела последствия, выходящие за рамки THORChain. Кросс-цепная ликвидность должна делать криптовалюту более полезной, ликвидной и взаимосвязанной, однако тот же дизайн, который позволяет активам перемещаться между изолированными сетями, может также сжать временные рамки реагирования в случае возникновения проблем.

Реакция на инцидент

Операционная реакция на инцидент была задокументирована в экстренной системе управления цепью. Процедуры THORChain описывают остановку сети и цепи как инструменты, которые операторы узлов могут использовать, когда средства находятся под угрозой. Архитектура системы основывается на наблюдении Bifrost, хранилищах и подписании с пороговым значением, что позволяет перемещать нативные активы между цепями без их обертывания.

Эти меры могут защитить средства, останавливая дальнейшую активность, и показывают, что кросс-цепная инфраструктура представляет собой стек наблюдателей, валидаторов, хранилищ, логики подписания, операций узлов и экстренных процедур. Когда этот стек подвергается испытаниям, рынок задается вопросом, можно ли исправить одну ошибку и сохранить доверие к системе, в то время как сама реакция нарушает маршрутизацию.

Влияние на доверие к DeFi

Инцидент с THORChain 15 мая показал, как предполагаемые многосетевые потери, экстренные меры и нерешенные вопросы постмортема соединились в более широком тесте инфраструктуры DeFi. Ущерб от эксплуатации редко заканчивается на опустошенном кошельке. По данным Immunefi, средний прямой ущерб составляет 25 миллионов долларов, в то время как медианная потеря упала до 2,2 миллиона долларов. Этот разрыв показывает рынок, где рутинные меры защиты могут улучшаться, в то время как крупнейшие инциденты все еще определяют уровень доверия.

В том же отчете было указано, что пять крупнейших взломов в 2024 и 2025 годах составили 62% украденных средств, а взломанные токены показали медианное снижение на 61% за шесть месяцев. Эти движения токенов нельзя четко отделить от рыночных условий или специфических слабостей проектов в каждом случае. Тем не менее, эта закономерность поддерживает основную реакцию рынка: эксплуатации становятся долгосрочными бизнес-событиями, которые истощают капитал, требуют времени от команды, замедляют интеграции и заставляют партнеров сомневаться, не станет ли следующая неудача косвенно затрагивать их.

Проблемы с соблюдением норм

Положение THORChain особенно чувствительно, поскольку протокол сочетает в себе уязвимость с ролью маршрутизатора в крупных эпизодах незаконных потоков. По данным отчета TRM, на момент инцидента 15 мая не было публичной атрибуции действий злоумышленников. Это обстоятельство отделяет текущий инцидент от предыдущих случаев отмывания денег, если только новые доказательства не изменят ситуацию.

В том же анализе THORChain описывался как повторяющийся маршрут для перемещения украденных средств, включая потоки, связанные с инцидентами Bybit и KelpDAO. Это давление стало очевидным после того, как средства, связанные с Lazarus, переместились через протокол THORChain, что привело к напряженности между разработчиками и валидаторами.

Заключение

Следующий тест начинается с необходимости не только сообщения о восстановлении, но и четкого постмортема от THORChain, который должен reconciliate окончательную сумму потерь и количество цепей, объяснить коренную причину без спекуляций и показать, что изменилось в его хранилище, управлении ключами, узлах, мониторинге и процессах остановки. Подробности восстановления могут помочь ограничить ущерб для пользователей, оставляя при этом вопрос инфраструктуры нетронутым.

Если THORChain завершит компенсацию, безопасно возобновит работу и задокументирует надежное исправление, инцидент может остаться серьезным, но локализованным ударом по доверию. Если же коренная причина останется неясной, окончательный учет будет продолжать меняться, или интеграции будут отозваны, это событие станет еще одной точкой данных в более широком переоценивании кросс-цепного DeFi. Сектор стремится представить себя как надежную, всегда доступную финансовую инфраструктуру. Каждый крупный кросс-цепной инцидент делает это утверждение труднее защищать, пока индустрия не сможет продемонстрировать, что мосты, хранилища, системы подписания и экстренные меры, соединяющие ее рынки, столь же зрелы, как и капитал, который они стремятся привлечь.