15 мая 2026 года протокол THORChain подвергся атаке сразу в четырёх блокчейнах. Злоумышленник похитил более $10 млн: около $3 млн в Bitcoin и свыше $7 млн в активах в сетях BNB Chain, Ethereum и Base. После обнаружения аномальных переводов торговые функции протокола были остановлены. Точную причину атаки THORChain на момент расследования не раскрыл.
Что такое THORChain и почему это важно
THORChain — это протокол, позволяющий обменивать активы между разными блокчейнами напрямую — например, поменять Bitcoin на Ethereum без посредников и централизованных бирж. По сути, это универсальный обменник между разными криптовалютами.
Для работы протокол подключается к нескольким блокчейнам одновременно — Bitcoin, Ethereum, BNB Chain, Base и другим. Именно эта многосетевая природа и делает атаки на THORChain возможными сразу в нескольких сетях одновременно.
Что произошло
15 мая злоумышленник воспользовался уязвимостью в мостовом механизме THORChain и вывел средства сразу в нескольких сетях. Аномальные переводы заметила нодальная сеть протокола — после этого обмены были остановлены.
Точная причина атаки THORChain не раскрыла на момент публикации расследования. Известно, что атака затронула четыре сети одновременно, что характерно для заранее спланированных атак.
Почему это стало возможным
THORChain не раскрыл техническую причину. Тем не менее, уже известные детали позволяют обрисовать предварительную картину атаки.
Одновременный вывод активов сразу в четырёх сетях говорит о том, что атака была спланирована заранее: злоумышленник нашёл уязвимость в архитектуре, подготовил адреса-получатели и нанёс удар по всем фронтам одновременно.
THORChain — протокол, который раньше уже подвергался атакам. Сложная многоцепочная архитектура — одновременная работа с многими цепочками — означает большую поверхность для атак и требует особенно тщательного аудита на каждом уровне.
Детали расследования: движение средств
Ethereum, BNB Chain и Base
1️⃣ Средства (~$4.2 млн в различных токенах) поступили на адрес атакующего 0x82Fc0d5150F3548027e971eC04c065f3c93154Eb.
2️⃣ Там все токены были обменяны на ETH — этим атакующий превратил разные токены в один универсальный актив. Параллельно то же самое происходило в сетях BNB Chain и Base.
3️⃣ Весь консолидированный ETH из всех трёх сетей, а также 1 086 ETH, напрямую поступивших с THORChain, осели на адрес 0xd477b69551f49C0519F9B18c55030676138890Bd. На момент расследования средства остаются здесь.
Визуализация движения средств в Ethereum:
Bitcoin
1️⃣ Около 36.85 BTC (~$2.97 млн) поступили на адрес атакующего bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37.
2️⃣ Оттуда средства были разделены:
- 36.75 BTC (~$2.96 млн) — на адрес bc1qdx4vkwde0jqmlzx7g6vyh35jgexxp7nh403ua50.1 BTC (~$8 тыс.) — на адрес
- bc1qw2t8lrpthl6za4tq6zn52weas7wmademmq3hca
3️⃣ На момент расследования средства остаются на этих адресах и не движутся.
Визуализация движения средств в Bitcoin:
Заключение
Атака на THORChain выделяется своими масштабами и способом исполнения: атакующий атаковал сразу четыре сети параллельно, что значительно усложнило оперативное реагирование протокола. Большая часть похищенных средств на момент расследования остаётся в сетях Ethereum и Bitcoin без движения.
Команда КоинКит продолжает отслеживать движение средств по указанным адресам.
