V12 sagt, THORChain habe seinen kritischen Fehler stillschweigend behoben und den Forschern dann mitgeteilt, dass das Bounty „endgültig eingestellt“ sei
Ein Sicherheits-Startup sagte, es beabsichtige, in den kommenden Tagen Exploit-Code für ungepatchte THORChain-Schwachstellen öffentlich zu veröffentlichen, nachdem das Cross-Chain-Protokoll einen früheren kritischen Fehler behoben hatte, den das Unternehmen ohne Nennung oder Bezahlung offengelegt hatte.
V12, ein Startup, das ein automatisiertes Code-Auditing-Tool entwickelt und kürzlich Linux-Kernel-Exploits veröffentlicht hat, sagte in einem Beitrag auf V12 gab an, dass es weitere „Chain-Stop“-Denial-of-Service-Schwachstellen in THORChain enthält, die offen offengelegt werden sollen, und hat ein Repository mit Proof-of-Concept-Code veröffentlicht.
Proposer-Forgery-Bug
Die Enthüllung erfolgt etwa drei Wochen, nachdem THORChain, ein kettenübergreifendes Liquiditätsprotokoll mit einem Gesamtwert von rund 30 Millionen US-Dollar, am 15. Mai schätzungsweise 10,7 Millionen US-Dollar aus einem seiner sechs Asgard-Tresore verloren hat. Sicherheitsforscher, darunter Blockaid und der On-Chain-Ermittler ZachXBT, führten diesen Exploit auf einen Proposer-Forgery-Bug im Bifrost-Bescheinigungssystem von THORChain zurück – die gleiche Art von Fehler, der in einem THORChain-Code-Commit vom 6. Mai geschrieben wurde reparieren.
Dieser Patch mit dem Titel „Signieren Sie den vollständigen ObservedTx-Wrapper, um Antragstellerfälschungen zu verhindern“ wurde nie bereitgestellt. Forscher sagten, es habe den automatisierten Test- und Rollout-Prozess des Protokolls vor dem Angriff nicht bestanden. Laut Daten von DefiLlama und CoinGecko fiel RUNE am Tag des Exploits um bis zu 15 % und wird jetzt bei etwa 0,49 US-Dollar gehandelt, was einem Rückgang von etwa 87 % im vergangenen Jahr entspricht.
THORChain wurde seit 2021 wiederholt gehackt und verarbeitete den Großteil der Geldwäsche im Rahmen des 1,4 Milliarden US-Dollar schweren Bybit-Hacks.
Was V12 sagt, wurde gefunden
V12 sagte, dass es sich am 28. April an THORChain gewandt habe, um „verantwortungsvoll offenzulegen“, was es als wahrscheinlich kritische Schwachstelle bezeichnete, und teilte eine Patchdatei, ein Proof-of-Concept-Skript und einen Bericht mit, wie aus von der Firma veröffentlichten Nachrichten-Screenshots hervorgeht.
In diesen Nachrichten beschrieb V12 einen Fehler, bei dem ein einzelner böswilliger Prüfer, der als Antragsteller des CometBFT-Blocks fungiert, „alle Bestätigungsanforderungen umgehen“ kann, indem er nicht signierte Endgültigkeitsdaten ehrlich bestätigter Transaktionen fälscht, was dazu führt, dass THORChain ausgehende Gelder freigibt, bevor eine Quelleneinzahlung bestätigt wird. Das Unternehmen sagte, das Problem betreffe alle in THORChain integrierten externen Ketten und könne von jedem aktiven Validator während seiner normalen Antragstellerrotation ausgenutzt werden.
Als V12 wegen einer Auszahlung nachfragte, antwortete ein THORChain-Kontakt, dass ihm „keine Kenntnis von derzeit laufenden Fehlerprämien durch THORChain“ sei und dass das Team das Programm „vor langer Zeit“ gestoppt habe, wie aus den Screenshots hervorgeht. V12 fragte dann, ob es auch bei kritischen Fehlern keine Auszahlung gebe.
Die Identität des Kontakts wurde auf den Bildern geschwärzt. Das Konto von V12 basiert auf Nachrichten, die es selbst veröffentlicht hat und die eine Seite des Austauschs darstellen; THORChain hat weder ihre Authentizität noch das Vorhandensein des offengelegten Fehlers bestätigt.
Ein Patch, der nie versendet wurde
Laut dem THORNode-Commit-Verlauf haben die Entwickler von THORChain am 6. Mai, neun Tage vor dem Exploit vom 15. Mai, einen Fix für einen Proposer-Forgery-Bug verfasst. Die Analyse des Angriffs durch Blockaid ergab, dass die Validatorsignaturen das eingehende oder ausgehende Feld einer Transaktion nicht abdeckten, sodass ein Antragsteller eine echte eingehende Beobachtung in eine ausgehende Auszahlung an vom Angreifer kontrollierte Adressen umwandeln konnte. Forscher sagten, der Patch vom 6. Mai habe genau dieses Verhalten behoben, den kontinuierlichen Integrationsprozess des Protokolls jedoch nicht bestanden und sei nicht rechtzeitig für Validatoren bereitgestellt worden.
Der Fehler V12, der am 28. April bekannt gegeben wurde, wird in fast identischen Worten beschrieben wie der Patch und der Fehler, den die Forscher für den Exploit verantwortlich gemacht haben.
THORChain hat keine vollständige Obduktion veröffentlicht oder bestätigt, dass der offengelegte Fehler und der ausgenutzte Fehler identisch sind, und V12 behauptete in seinem Beitrag nicht ausdrücklich, dass der Angreifer vom 15. Mai seine Erkenntnisse genutzt habe. Blockaid und ZachXBT haben erklärt, dass sie davon ausgehen, dass der Angreifer vom 15. Mai derselbe Täter ist, der hinter dem 1-Zoll-Fusion-V1-Angriff vom März 2025 steckt.
Die automatisierten Abwehrmaßnahmen von THORChain konnten den Vorfall vom 15. Mai eindämmen: Knotenbetreiber lösten einen netzwerkweiten Stopp aus, der den Handel, die Signierung und die Abwanderung von Validatoren für etwa 13 Stunden einfrierte, und das Team sagte, dass keine einzelnen Benutzer-Swaps betroffen seien. Das Protokoll enthüllte den Verlust über Discord und X, wie in der Berichterstattung von The Defiant über die Kompromittierung des Asgard-Tresors beschrieben.
Der Zusammenhang zwischen dem Bericht von V12 und dem Exploit vom 15. Mai ist zwar in der Beschreibung des Unternehmens, dem Patch-Commit und der forensischen Analyse Dritter konsistent, wurde jedoch weder von THORChain bestätigt noch von V12 direkt angegeben.
Ein Kopfgeldprogramm im Rückzug
THORChain setzte im Jahr 2021 nach einer Reihe von Exploits ein Bug-Bounty in Höhe von 500.000 US-Dollar auf Immunefi aus. Später verließ es diese Plattform inmitten von Kontroversen und wechselte zu einem selbst gehosteten Programm, das laut Forschern im März 2026, zwei Monate vor dem Exploit im Mai, eingestellt wurde. Im November 2024 warf der Forscher Luke Parker dem Protokoll öffentlich vor, sein Immunefi-Programm hinter der Plattform zurückzuziehen