Хакеры похитили криптовалюту на $7,4 млн из хранилища THORChain — она используется северокорейскими группировками для отмыва средств
Децентрализованный протокол THORChain, позволяющий обменивать криптовалюты напрямую из кошелька, подвергся взлому. Администрация связывает атаку с новым узлом, вошедшим в сеть несколько дней назад: хакеры похитили $7,4 млн. В комментарии SecPost эксперт отмечает, что протокол уже был в центре скандалов из-за опасений касательно безопасности, а также обращает внимание, что его использовали северокорейские хакеры для отмывания денег.
Взломан децентрализованный протокол для обмена криптовалют THORChain. Администрация платформы связывает с атакой новый узел, вошедший в сеть несколько дней назад. Посредством него хакеры смогли похитить $7,4 млн, следует из сообщения администрации платформы в Telegram.
THORChain используется для обмена активов из разных блокчейнов без использования централизованной биржи, позволяя, например, поменять BTC на ETH напрямую из кошелька.
О хищении стало известно из сообщения в Discord-сообществе платформы от 15 мая, на него в тот же день обратил внимание американский блокчейн-расследователь ZachXBT. Он заявил, что из сети похищены средства в виде BTC, ETH и прочих общей суммой $10,7 млн. Как следствие, обмен на платформе приостановили.
В 14:14 администрация THORChain опубликовала сообщение, из которого следовало, что платформа обнаружила несанкционированные исходящие транзакции из одного из хранилищ. В компании подтвердили, что средства из этого хищения были утеряны. На стадии раннего расследования стало известно, что сеть автоматически обнаружила аномальное поведение и остановила активность подписания транзакций, что предупредило широкое сообщество и предотвратило дальнейшие исходящие операции. Также отмечалось, что у операторов узлов, обеспечивающих безопасность хранилища, есть залог в RUNE, который подлежит сокращению в случае несанкционированных исходящих транзакций.
В 22:19 администрация платформы опубликовала обновление по ситуации с утечкой средств. Как полагают в THORChain, с атакой может быть связан новый узел, вошедший в сеть несколько дней назад. Разработчики выявили связи между Ethereum-адресами, которые использовались для приобретения и внесения в залог RUNE для этого узла, и Ethereum-адресами, которые позже получили похищенные средства.
«На основании имеющихся данных предполагается, что всё это было совершено одним злоумышленником, хотя расследование продолжается», — следовало из сообщения администрации.
Основная версия заключается в том, что злоумышленник использовал уязвимость в реализации GG20 TSS, которая со временем приводила к утечке конфиденциальных ключевых материалов участников хранилища. Накопив достаточно утекшей информации, атакующий в конечном итоге смог восстановить TSS-приватный ключ хранилища и инициировать несанкционированные исходящие транзакции.
«Казначейство THORChain активно собирает криминалистические данные и координируется с Outrider Analytics и соответствующими правоохранительными органами с целью идентификации злоумышленника и, по возможности, возврата похищенных средств», — заявляла администрация.
Аналитик по расследованиям AML/KYT-провайдера «Шард» Дмитрий Пойда в комментарии SecPost отметил, что долгое время THORChain считался одним из самых технологически сложных и одновременно самых амбициозных проектов. При этом у THORChain довольно противоречивая репутация с точки зрения безопасности и комплаенса.
«Протокол неоднократно оказывался в центре дискуссий из-за того, что через него проходили средства после крупных взломов. Аналитические компании и блокчейн-исследователи регулярно связывали THORChain с потоками средств, использовавшихся для отмывания активов после атак на биржи и DeFi-протоколы», — говорит Пойда о платформе.
По словам эксперта, ранее у проекта уже были проблемы с безопасностью — в 2021 году протокол пережил несколько серьезных инцидентов, связанных с уязвимостями в логике обработки активов и ошибками в кросс-чейн механизмах. После этого команда усилила аудит, внедрила дополнительные механизмы защиты, в том числе систему аварийной остановки сети. «Собственно, именно сегодня и был активирован один из таких инструментов защиты», — отмечает эксперт.
По словам Пойды, атака на THORChain, вероятнее всего, была связана с ошибкой в механизме обработки кросс-чейн депозитов. Речь идет о Bifrost Router — компоненте протокола, который отвечает за взаимодействие THORChain с внешними сетями, такими как BTC, ETH, BNB Chain и Base. По словам Пойды, суть его работы заключается в том, что мост должен «понимать», что пользователь действительно отправил активы в одной сети, чтобы выдать эквивалент в другой.
«Скорее всего, злоумышленник нашел способ подделать такие депозиты через кастомный wrap-механизм. То есть ошибка была в логике проверки событий между разными блокчейнами. Когда протокол ошибочно считает актив «валидным», злоумышленник получает возможность выводить средства», — предполагает эксперт.
Пойда также обращает внимание, что THORChain практически сразу активировал глобальную остановку торгов. По словам эксперта, для подобных протоколов это крайняя мера, «но в данном случае это была критическая необходимость».
«Если проблема действительно связана с логикой подтверждения депозитов, то без остановки атака могла бы продолжаться и привести к еще большим потерям», — подчеркивает Пойда.
В 2025 году северокорейские хакерские группировки похитили криптовалюту суммарно на $2 млрд, писал SecPost. Но Пойда не без скепсиса относится к версии о том, что они причастны и к атаке на THORChain. Эксперт отмечает, что сейчас практически любой крупный взлом в криптоиндустрии так или иначе пытаются связать с северокорейскими группировками, прежде всего с Lazarus Group.
«Однако в случае с атакой на THORChain к таким выводам стоит относиться осторожно. На данный момент эта версия выглядит не самой логичной. Нужно понимать, что THORChain уже давно является одним из ключевых инструментов, через который северокорейские группы прогоняют украденные активы для дальнейшего отмывания», — отмечает эксперт.
По словам Пойды, протокол активно использовался для swap-операций между разными сетями после ряда крупных атак именно благодаря своей децентрализованной архитектуре. Для Lazarus и подобных группировок THORChain — это скорее инфраструктура для перемещения и обфускации средств, чем цель для уничтожения, считает эксперт.
«Атака, которая фактически выводит протокол из строя, привлекает повышенное внимание аналитиков, бирж и регуляторов — это не совсем в интересах северокорейских группировок. Для них гораздо выгоднее иметь стабильный рабочий инструмент, чем «сжигать» инфраструктуру ради относительно небольшой суммы — около $10 млн», — отмечает Пойда.
Против северокорейской версии говорит и почерк атаки. Пока что, по мнению эксперта, он больше напоминает эксплуатацию узкоспециализированной технической уязвимости в кросс-чейн логике, а не типичные операции Lazarus, где часто присутствуют сложные схемы социальной инженерии.
