THORChain‑Exploit über rund 10 Mio. Dollar: Was wirklich passiert ist

Nachdem die ungewöhnlichen Transaktionen entdeckt wurden, stoppte das Protokoll Trading‑ und Signaturvorgänge, um weitere Abflüsse zu verhindern, während Entwickler und Sicherheitsforscher den Angriff untersuchten.

Die vermutete Schwachstelle im GG20‑Signatursystem

Die wahrscheinlichste technische Ursache liegt laut bisherigen Untersuchungen in der Implementierung des GG20 Threshold Signature Scheme (TSS).

Dieses Verfahren gehört zur Kategorie der Multi‑Party‑Computation‑Wallets (MPC). Dabei existiert kein vollständiger privater Schlüssel an einem einzigen Ort. Stattdessen wird die Signatur‑Autorität auf mehrere Nodes verteilt, die gemeinsam Transaktionen autorisieren müssen.

Ermittler vermuten, dass der Angreifer eine Schwachstelle in dieser Implementierung ausnutzte. Hinweise deuten darauf hin, dass ein neu hinzugefügter Node im Validator‑Set beteiligt gewesen sein könnte.

Die Theorie: Über diesen Node konnten schrittweise Teile des Schlüsselmaterials („Key Shares“) abgegriffen oder rekonstruiert werden. Sobald genügend Informationen vorlagen, konnte der Angreifer gültige Signaturen erzeugen und so unautorisierte Transaktionen aus dem Vault signieren.

Automatische Überwachungssysteme des Netzwerks erkannten schließlich die Anomalie und stoppten die Signaturprozesse – wodurch der Schaden begrenzt wurde.

Verwirrung um ein angebliches Rückerstattungsportal

Besonders verwirrend für Nutzer war die widersprüchliche Berichterstattung über mögliche Entschädigungen.

Einige Krypto‑Newsberichte meldeten, THORChain habe am 16. Mai ein Self‑Custody‑Recovery‑Portal gestartet, finanziert durch einen 10‑Millionen‑Dollar‑Treasury‑Fonds. Dort hätten betroffene Nutzer:

• ihre Berechtigung zur Entschädigung prüfen
• bösartige Token‑Freigaben widerrufen
• Rückerstattungsansprüche einreichen

Diese Berichte nannten eine 21‑tägige Frist, die am 4. Juni enden sollte, und 12.847 betroffene Wallets.

Andere Quellen und Aussagen aus dem Umfeld des Projekts widersprachen jedoch. Entwickler warnten öffentlich vor Fake‑Recovery‑Portalen und falschen Informationen über angebliche Rückerstattungen.

Für Nutzer bedeutete das: Jeder Link zu einem „Refund‑Portal“ sollte nur dann verwendet werden, wenn er eindeutig über offizielle THORChain‑Kanäle bestätigt wurde.

Betrugsversuche nach dem Hack

Kurz nach dem Angriff warnte das Projekt vor einer Welle von Betrugsversuchen, die gezielt Opfer des Hacks ansprachen.

Dabei tauchten unter anderem Angebote auf für:

• angebliche Rückerstattungsprogramme
• Fake‑Airdrops
• gefälschte Entschädigungs‑Claims

Solche Kampagnen sind nach großen DeFi‑Exploits häufig, weil Angreifer versuchen, Nutzer durch Phishing‑Links oder Wallet‑Signaturen zu täuschen.

Marktreaktion: RUNE fällt zweistellig

Der Vorfall wirkte sich auch auf den Markt aus. Der native Token RUNE verlor innerhalb von 24 Stunden etwa 11–12 % und fiel zeitweise auf etwa 0,51 US‑Dollar.

Die Kursreaktion spiegelte mehrere Sorgen wider:

• Sicherheitsrisiken bei MPC‑Wallets
• strukturelle Risiken von Cross‑Chain‑Brücken
• Vertrauen in Validator‑Nodes

Solche Themen stehen regelmäßig im Mittelpunkt, wenn DeFi‑Protokolle mit gemeinsam verwalteter Liquidität angegriffen werden.

Bedeutung für die Sicherheit von DeFi

Der Angriff verdeutlicht ein grundlegendes Risiko im DeFi‑Ökosystem: Cross‑Chain‑Infrastruktur bündelt Sicherheitsrisiken in kryptografischen Signatursystemen.

Protokolle wie THORChain verwalten Assets aus mehreren Netzwerken gleichzeitig. Wird das zugrunde liegende Signatursystem kompromittiert, können Vermögenswerte über mehrere Blockchains hinweg gleichzeitig gefährdet sein.

Der Vorfall zeigt außerdem, dass auch Kommunikation nach einem Hack Teil der Sicherheitsstrategie geworden ist. Falsche Informationen über Entschädigungen oder Recovery‑Programme können zusätzliche Schäden verursachen, wenn Nutzer auf betrügerische Links reagieren.

Wie es jetzt weitergeht

Die Untersuchung des Exploits läuft weiterhin. Blockchain‑Analysefirmen verfolgen die gestohlenen Assets und untersuchen die Transaktionspfade der Angreifer‑Wallets. Einige Analysen deuten darauf hin, dass die beteiligten Wallets bereits Wochen vor dem Angriff finanziert wurden, was auf eine vorbereitete Operation hindeutet.

Parallel prüfen die Entwickler mögliche Verbesserungen oder Änderungen an der kryptografischen Infrastruktur, einschließlich möglicher Alternativen zum aktuellen Threshold‑Signature‑System.

Bis ein vollständiger technischer Bericht veröffentlicht wird, bleibt der Vorfall ein weiteres Beispiel dafür, dass selbst fortgeschrittene DeFi‑Protokolle mit komplexer Cross‑Chain‑Architektur weiterhin kritische Sicherheitsrisiken tragen.