Эксплойт THORChain на $10 млн: как произошёл взлом Asgard Vault и что известно о компенсациях

Целью атаки стало одно из так называемых Asgard‑хранилищ (Asgard vault) — ключевых компонентов THORChain. Эти мультичейн‑хранилища аккумулируют ликвидность пользователей и обеспечивают обмен активов между блокчейнами.

После обнаружения подозрительных операций сеть автоматически зафиксировала аномальную активность, и разработчики временно остановили торговлю и подпись транзакций, чтобы предотвратить дальнейшие потери.

Как была использована уязвимость GG20

Основная версия расследования связана с уязвимостью в реализации GG20 Threshold Signature Scheme (TSS) — криптографической системы распределённой подписи.

Вместо хранения приватного ключа в одном месте TSS делит его на несколько частей между валидаторами сети. Чтобы подтвердить транзакцию, достаточное количество узлов должно совместно создать подпись.

По данным исследователей, злоумышленник смог воспользоваться слабостью в реализации этой схемы. Возможный сценарий атаки:

• в сети появился недавно добавленный валидаторный узел, связанный с атакой;
• через уязвимость постепенно происходила утечка материалов долей ключа;
• накопив достаточно информации, злоумышленник смог воссоздать рабочую подпись и отправить транзакции из хранилища.

Когда атакующий получил достаточно ключевой информации, вывод средств выглядел как обычные легитимные транзакции хранилища.

Встроенные механизмы мониторинга THORChain в итоге обнаружили аномалии и остановили процесс подписания, что ограничило общий размер потерь.

Спор вокруг «портала компенсаций»

После инцидента в криптосреде возникла путаница вокруг того, предлагает ли проект компенсацию пострадавшим пользователям.

Некоторые публикации утверждали, что 16 мая был запущен self‑custodial портал восстановления, финансируемый из казначейства проекта на сумму $10 млн. По этим сообщениям, пользователи могли:

• проверить, подпадает ли их кошелёк под компенсацию;
• отозвать вредоносные разрешения токенов;
• подать заявку на возврат средств.

Сообщалось, что:

• 12 847 кошельков признаны затронутыми;
• окно подачи заявок составляет 21 день;
• крайний срок — 4 июня.

Однако другие источники и заявления разработчиков THORChain утверждали обратное. Команда предупредила, что в интернете распространяется ложная информация о возвратах и компенсациях, а также появились фейковые аккаунты и сайты.

Из‑за этих противоречий пользователям рекомендовали не подключать кошельки и не подписывать транзакции на сторонних сайтах, пока информация не подтверждена официальными каналами THORChain.

Предупреждения о мошенничестве

Практически сразу после взлома команда THORChain выпустила предупреждение о росте мошеннической активности.

По их словам, злоумышленники распространяли:

• фейковые программы возврата средств;
• поддельные airdrop‑кампании;
• ссылки на «порталы компенсаций».

Такие схемы часто появляются после крупных DeFi‑взломов, поскольку злоумышленники пытаются воспользоваться паникой пользователей.

Реакция рынка: падение токена RUNE

Инцидент быстро отразился на цене токена RUNE, нативного актива THORChain.

В течение суток после новостей цена снизилась примерно на 11–12%, достигнув около $0,51.

Инвесторы отреагировали на риски, связанные с:

• безопасностью MPC‑кошельков;
• архитектурой кроссчейн‑мостов;
• моделью доверия к валидаторным узлам.

Подобные опасения регулярно возникают после атак на инфраструктуру мультичейн‑ликвидности.

Почему этот инцидент важен для DeFi

Взлом THORChain стал ещё одним примером структурного риска в DeFi: кроссчейн‑протоколы концентрируют безопасность в криптографических системах подписи.

Если уязвимость появляется в системе MPC или threshold‑подписей, под угрозой могут оказаться активы сразу в нескольких сетях.

Кроме того, инцидент показал ещё одну проблему современного крипторынка — коммуникационные атаки после взлома. Путаница вокруг порталов возврата средств и фейковых сайтов может привести к дополнительным потерям пользователей.

Что происходит дальше

Расследование продолжается. Аналитические компании и специалисты по блокчейн‑безопасности отслеживают движение украденных средств и анализируют связанные кошельки.

Некоторые данные указывают, что адреса злоумышленника могли быть профинансированы за несколько недель до атаки, что намекает на заранее подготовленную операцию.

Тем временем разработчики THORChain рассматривают изменения в криптографической инфраструктуре протокола — включая возможное обновление или замену используемой системы threshold‑подписей.

Пока не опубликован полный технический отчёт (post‑mortem), этот инцидент остаётся напоминанием: даже продвинутые мультичейн‑протоколы DeFi могут сталкиваться с критическими уязвимостями, а прозрачность и грамотная коммуникация после взлома становятся столь же важными, как и сами технические исправления.