THORChain palautti kaupankäynnin kuukauden tauon jälkeen – 10,7 miljoonan exploitin varjossa
- THORChain palautti allekirjoituksen, swapit ja likviditeetintarjonnan tiistaina kuuden viikon tauon jälkeen.
- Yksi kuudesta Asgard-vaultista vaarantui 15.5., ja kokonaistappiot nousivat 10,7 miljoonaan dollariin.
- V12 kertoi raportoineensa lähes saman haavoittuvuuden viikkoja ennen murtoa ja väitti bountyn jääneen maksamatta.
- Seuraavaksi vuorossa ovat natiivit Monero-swapit, Zcash-tuki ja dynaamiset palkkiot.
Ristiketju-DEX avasi swapit ja likviditeetintarjonnan kuusi viikkoa Asgard-vaultin murron jälkeen. Avaus tapahtuu tilanteessa, jossa tietoturvayhtiö V12:n kiista hiljaa korjatusta bugista jättää turvallisuuskysymyksiä auki.
Kuusi viikkoa hiljaisuutta päättyi tiistaiaamuna. Ristiketju-DEX THORChain palautti allekirjoituksen, churningin eli vaultien avaintenkierrätyksen, swapit ja likviditeetin tarjoamisen sen jälkeen, kun verkko oli pysäytetty toukokuussa.
Tauko alkoi 15.5. Yksi protokollan kuudesta Asgard-vaultista vaarantui, ja noin 7,4 miljoonaa dollaria lähti luvattomina siirtoina ennen kuin verkko lopetti allekirjoittamisen. Kokonaistappiot nousivat 10,7 miljoonaan dollariin, kun mukaan lasketaan Bitcoin-, Ethereum-, BNB Chain- ja Base-vaultit.
Pysäytys oli verkon oma turvatoimi. Kun allekirjoittaminen loppuu, vaurioituneesta vaultista ei pääse siirtämään lisää varoja, mutta samalla koko hajautettu pörssi jäätyy.
Asgard-vault
Asgard-vaultit ovat THORChainin yhteisesti hallinnoimia lompakoita, joihin verkkoon talletetut varat säilötään. Jos yksikin niistä vaarantuu, hyökkääjä voi siirtää varoja ulos ennen kuin verkko ehtii pysäyttää allekirjoittamisen.
Kehittäjät perustelivat poikkeuksellisen pitkää aikataulua järjestelmällisellä todentamisella. Jokainen vault ja keyshare eli osaavain varmistettiin erikseen ennen kuin toiminnot avattiin.
Tiimi vahvisti uudelleenavauksen omalla tilillään.
Allekirjoitukset, churning, swapit ja likviditeetin tarjoaminen ovat taas toiminnassa. Jokainen vault ja keyshare todennettiin ennen uudelleenavausta.
– THORChain (@THORChain) June 24, 2026
Tauon aikana likviditeetti ei kuitenkaan kadonnut kokonaan. Maya Protocol on THORChainiin kytketty ketju, ja se piti omat vaihtoyhteytensä auki koko jäätymisen ajan. Käyttäjät pääsivät siis tekemään swappeja siellä, vaikka THORChainin oma pörssi oli pysäytetty.
Avaukseen liittyy silti auki jäänyt kysymys. Tietoturvayhtiö V12 kertoi 1.6. raportoineensa lähes identtisen haavoittuvuuden THORChainin kehittäjille viikkoja ennen toukokuun murtoa.
Yhtiön mukaan protokolla korjasi bugin hiljaa maksamatta luvattua bug bounty -palkkiota (löytöpalkkio) ja ilmoitti sitten lopettavansa koko ohjelman pysyvästi. V12 sanoi aikovansa julkaista exploit-koodia muista korjaamattomista bugeista. Julkaisu antaisi valmiin hyökkäysreseptin vaultteihin, joissa on yhä käyttäjien varoja, ja kuka tahansa voisi yrittää hyödyntää sitä ennen kuin tiimi ehtii korjata aukot.
Miksi tällä on väliä juuri nyt? Palkkio-ohjelmat ovat hajautettujen pörssien tärkein keino saada haavoittuvuudet ilmoitettua ennen kuin hyökkääjät löytävät ne. Jos tutkijat kokevat, ettei ilmoittaminen kannata, korjaamattomat bugit jäävät helpommin hyökkääjien hyödynnettäviksi.
Kahden osapuolen kuva tapahtumista ei täsmää. Kehittäjille kyse on hallitusta toipumisesta, V12:lle hoitamatta jätetystä tietoturva-aukosta. Kumpi luenta painaa enemmän, jää toistaiseksi auki.
Mitä seuraavaksi? Tiekartalla ovat ensin natiivit Monero-swapit, joiden end-to-end-testaus on tiimin mukaan valmis. Niiden jälkeen vuorossa ovat Zcash-tuki, dynaamiset palkkiot ja syvempi likviditeetti. Avaaminen on siis vasta ensimmäinen askel, eikä V12:n esiin nostamiin kysymyksiin ole vielä saatu vastausta.
