Децентрализованный кроссчейн-протокол THORChain подвергся атаке 15 мая, в результате которой злоумышленник вывел около $10,7 млн в цифровых активах. Согласно официальному отчёту об инциденте, опубликованному 20 мая, атакующий использовал уязвимость в схеме пороговых подписей GG20, позволившую ему восстановить полный приватный ключ одного из хранилищ.
Злоумышленник присоединился к Discord-серверу разработчиков 1 мая под ником Dinosauruss. Он задавал конкретные вопросы о процессе включения ноды в активный набор валидаторов. Из-за задержки плановой смены нод его узел (адрес n84q) вошёл в сеть лишь 13 мая с двумя залоговыми адресами на общую сумму около 635 000 RUNE. В течение двух дней нода участвовала в обычных церемониях подписания GG20, не вызывая подозрений. Однако через последовательную утечку фрагментов ключевого материала в нескольких раундах злоумышленник реконструировал приватный ключ хранилища, после чего осуществил исходящие транзакции напрямую, минуя стандартную процедуру подписания.
Реактивный модуль проверки платёжеспособности обнаружил расхождение балансов более чем на 1% в нескольких сетях и автоматически остановил операции в ETH, AVAX, BSC, BASE, DOGE и GAIA. Сообщество быстро отреагировало: пользователь Discord заметил подозрительные переводы с маршрутизатора TC на Ethereum-адрес без мемо, а аналитик ZachXBT предупредил о возможной потере свыше $10 млн. Узлы операторов начали вручную ставить блокировки; в течение примерно двух часов сеть была полностью остановлена через голосование Mimir — активированы HALTTRADING, HALTSIGNING, HALTCHAINGLOBAL и HALTCHURNING (последнее предотвратило выход вредоносной ноды).
К вечеру 15 мая расследование установило связь адреса злоумышленника thor16ucjv3v695mq283me7esh0wdhajjalengcn84q с Ethereum-кошельками, получившими украденные средства. Первоначальная оценка ущерба выросла с $7,4 млн до $10,7 млн. Команда проекта начала сотрудничество с Outrider Analytics и правоохранительными органами. Патч v3.18.1 стал доступен 18 мая; технические детали уязвимости временно не раскрывались, чтобы дать возможность другим проектам, использующим аналогичную реализацию GG20, обновиться без лишнего риска.
Фонд Thorchain Foundation 22 мая обнародовал план восстановления. Основным источником покрытия убытков выступит ликвидность, принадлежащая протоколу (Protocol Owned Liquidity, POL). Если резервов POL окажется недостаточно, оставшаяся часть дефицита будет распределена пропорционально среди держателей синтетических активов (Synths) экосистемы. Точный коэффициент распределения пока уточняется. Принципиально важным пунктом является обязательство фонда не проводить дополнительную эмиссию и не продавать токены RUNE для компенсации потерь, что исключает размывание долей текущих держателей.
Инцидент стал очередным напоминанием о криптографических рисках кроссчейн-инфраструктуры: по данным на апрель 2026 года потери DeFi-сектора уже превысили $620 млн. В THORChain ранее планировали переход на более современную схему пороговых подписей DKLS с привлечением Silence Labs, однако к моменту атаки GG20 всё ещё находилась в промышленной эксплуатации. Дальнейшая судьба протокола будет зависеть от решений сообщества по ADR-028 и успешной реализации патча v3.19.
