يقول V12 أن THORChain قامت بتصحيح خطأها الحرج بصمت، ثم أخبرت الباحثين أن المكافأة "متوقفة نهائيًا"
قالت شركة أمنية ناشئة إنها تعتزم إصدار تعليمات برمجية استغلالية علنًا لثغرات THORChain غير المصححة في الأيام المقبلة، بعد أن قام البروتوكول عبر السلسلة بتصحيح خطأ حرج سابق كشفت عنه الشركة دون الاعتماد أو الدفع.
قالت V12، وهي شركة ناشئة تقوم ببناء أداة آلية لتدقيق التعليمات البرمجية ونشرت مؤخرًا عمليات استغلال Linux kernel، في منشور على X إنها أبلغت THORChain عن خطأ "خسارة فادحة للأموال"، وأن البروتوكول "قام بتصحيحه بصمت"، وأن أحد ممثلي THORChain أخبر الشركة بأن برنامج مكافآت الأخطاء الخاص بها قد تم إيقافه نهائيًا. قالت V12 إنها تحتفظ بنقاط ضعف إضافية لرفض الخدمة من نوع THORChain "توقف السلسلة" والتي تخطط للكشف عنها علنًا، ونشرت مستودعًا لكود إثبات المفهوم.
خطأ تزوير المقترح
يأتي هذا الكشف بعد ثلاثة أسابيع تقريبًا من خسارة THORChain، وهو بروتوكول سيولة عبر السلسلة بقيمة إجمالية تبلغ حوالي 30 مليون دولار، ما يقدر بـ 10.7 مليون دولار من أحد خزائن Asgard الستة الخاصة به في 15 مايو. وأرجع باحثو الأمن، بما في ذلك Blockaid ومحقق onchain ZachXBT، هذا الاستغلال إلى خطأ تزوير مقدم العرض في نظام التصديق Bifrost الخاص بـ THORChain - وهو نفس فئة الخلل الذي ارتكبه كود THORChain بتاريخ مايو. تمت كتابة 6 لإصلاح.
لم يتم نشر هذا التصحيح، الذي يحمل عنوان "توقيع غلاف ObservedTx الكامل لمنع تزوير مقدم الطلب"، مطلقًا؛ وقال الباحثون إنه فشل في عملية الاختبار والبدء الآلي للبروتوكول قبل الهجوم. انخفضت قيمة RUNE بما يصل إلى 15% في يوم الثغرة، ويتم تداولها الآن بالقرب من 0.49 دولار، بانخفاض حوالي 87% خلال العام الماضي، وفقًا لبيانات من DefiLlama وCoinGecko.
تم اختراق THORChain بشكل متكرر منذ عام 2021 وتمت معالجة الجزء الأكبر من عمليات غسيل الأموال في اختراق Bybit بقيمة 1.4 مليار دولار.
ما يقوله V12 أنه وجد
قالت V12 إنها اتصلت بـ THORChain في 28 أبريل "للكشف بشكل مسؤول" عما وصفته بالثغرة الحرجة المحتملة، ومشاركة ملف تصحيح، ونص نصي لإثبات المفهوم وتقرير، وفقًا لقطات شاشة الرسالة التي نشرتها الشركة.
في تلك الرسائل، وصف V12 خللًا يمكن فيه لمدقق ضار واحد يعمل كمقترح كتلة CometBFT "تجاوز جميع متطلبات التأكيد" عن طريق تزوير بيانات نهائية غير موقعة بشأن المعاملات الموثقة بأمانة، مما يتسبب في قيام THORChain بتحرير الأموال الصادرة قبل تأكيد إيداع المصدر. وقالت الشركة إن المشكلة أثرت على كل سلسلة خارجية مدمجة مع THORChain وكان من الممكن استغلالها من قبل أي مدقق نشط أثناء التناوب العادي لمقترحها.
عندما تابع V12 بشأن الدفع، رد أحد جهات اتصال THORChain بأنهم "ليسوا على علم بأي مكافأة أخطاء تجريها THORChain في الوقت الحالي" وقالوا إن الفريق أوقف البرنامج "منذ فترة طويلة"، وفقًا لقطات الشاشة. ثم سأل V12 عما إذا لم يكن هناك دفع تعويضات حتى بالنسبة للأخطاء الحرجة.
تم تنقيح هوية جهة الاتصال في الصور. يعتمد حساب V12 على الرسائل التي نشرتها بنفسها، والتي تعرض جانبًا واحدًا من التبادل؛ لم تؤكد THORChain صحتها أو وجود الخطأ الذي تم الكشف عنه.
التصحيح الذي لم يتم شحنه أبدًا
قام مطورو THORChain بتأليف إصلاح لخلل تزوير المقترح في 6 مايو، أي قبل تسعة أيام من استغلال 15 مايو، وفقًا لسجل التزام THORNode. وجد تحليل Blockaid للهجوم أن توقيعات المدقق لا تغطي الحقل الوارد أو الصادر للمعاملة، مما يسمح لمقدم الطلب بتحويل ملاحظة واردة حقيقية إلى دفعات صادرة إلى العناوين التي يتحكم فيها المهاجم. قال الباحثون إن تصحيح 6 مايو عالج هذا السلوك بالضبط لكنه فشل في عملية التكامل المستمر للبروتوكول ولم يتم طرحه للمدققين في الوقت المناسب.
الثغرة V12، التي تم الكشف عنها في 28 أبريل، تم وصفها بعبارات متطابقة تقريبًا لكل من التصحيح والخلل الذي ألقى الباحثون باللوم عليه في هذا الاستغلال.
لم تنشر THORChain تقريرًا كاملاً بعد الوفاة أو تؤكد أن الخطأ الذي تم الكشف عنه والخطأ المستغل هما نفس الشيء، ولم تزعم V12 صراحةً في منشورها أن مهاجم 15 مايو استخدم النتائج التي توصل إليها. صرح كل من Blockaid وZachXBT أنهما يعتقدان أن مهاجم 15 مايو هو نفس الممثل الذي يقف وراء هجوم 1inch Fusion V1 في مارس 2025.
احتوت الدفاعات الآلية لـ THORChain بالفعل على حادثة 15 مايو: تسبب مشغلو العقدة في إيقاف على مستوى الشبكة، وتجميد التداول، والتوقيع، وإيقاف أداة التحقق من الصحة لمدة 13 ساعة تقريبًا، وقال الفريق إنه لم تتأثر عمليات مبادلة المستخدم الفردية. كشف البروتوكول عن الخسارة عبر Discord وX، كما هو مذكور في تقرير The Defiant حول تسوية Asgard vault.
الرابط بين تقرير V12 واستغلال 15 مايو، على الرغم من اتساقه مع وصف الشركة، والالتزام بالتصحيح وتحليل الطب الشرعي من طرف ثالث، لم يتم تأكيده بواسطة THORChain أو ذكره V12 بشكل مباشر.
برنامج مكافأة في التراجع
أطلقت THORChain مكافأة بقيمة 500000 دولار على موقع Immunefi في عام 2021 بعد سلسلة من عمليات الاستغلال. ثم غادرت تلك المنصة لاحقًا وسط جدل، وانتقلت إلى برنامج مستضاف ذاتيًا يقول الباحثون إنه تم إيقافه في مارس 2026، قبل شهرين من استغلال مايو. وفي نوفمبر 2024، اتهم الباحث لوك باركر علنًا البروتوكول بسحب برنامج Imunefi الخاص به بعد المنصة.