V12 сообщает, что THORChain молча исправил критическую ошибку, а затем сообщил исследователям, что награда «навсегда прекращена»

Стартап в области безопасности заявил, что намерен публично выпустить код эксплойта для неисправленных уязвимостей THORChain в ближайшие дни после того, как межсетевой протокол исправил более раннюю критическую ошибку, которую фирма раскрыла, не указав и не заплатив за нее.

V12, стартап, создающий автоматизированный инструмент аудита кода и недавно опубликовавший эксплойты ядра Linux, сообщил в сообщении на X, что сообщил THORChain об ошибке «критической потери средств», что протокол «тихо исправил ее» и что представитель THORChain сообщил фирме, что ее программа вознаграждения за ошибки окончательно прекращена. V12 заявила, что у нее есть дополнительные уязвимости типа «остановка цепи» THORChain, которые она планирует раскрыть открыто, и опубликовала репозиторий кода для проверки концепции.

Ошибка предложения-подделки

Раскрытие информации произошло примерно через три недели после того, как 15 мая THORChain, протокол межсетевой ликвидности с заблокированной общей стоимостью около 30 миллионов долларов США, потерял примерно 10,7 миллиона долларов США из одного из шести хранилищ Asgard. Исследователи безопасности, включая Blockaid и исследователя цепочки ZachXBT, объяснили этот эксплойт ошибкой просителя-подделки в системе аттестации Bifrost THORChain — тот же класс ошибок, что и код THORChain, зафиксированный 6 мая. было написано, чтобы исправить.

Этот патч под названием «Подписать полную оболочку ObservedTx для предотвращения подделки предлагающего» так и не был развернут; Исследователи заявили, что перед атакой не удалось выполнить автоматизированное тестирование и процесс развертывания протокола. По данным DefiLlama и CoinGecko, RUNE упала на 15% в день эксплойта и сейчас торгуется около $0,49, что примерно на 87% меньше, чем в прошлом году.

THORChain неоднократно подвергался взлому с 2021 года и обработал большую часть отмываемых средств в результате взлома Bybit на сумму 1,4 миллиарда долларов.

Что говорит V12, что он нашел

V12 заявила, что 28 апреля обратилась к THORChain с просьбой «ответственно раскрыть» то, что она назвала вероятной критической уязвимостью, поделившись файлом исправления, сценарием для проверки концепции и отчетом, согласно скриншотам сообщений, опубликованным фирмой.

В этих сообщениях V12 описал уязвимость, при которой один злонамеренный валидатор, действующий как предлагающий блок CometBFT, может «обойти все требования к подтверждению», подделывая неподписанные данные окончательности честно засвидетельствованных транзакций, в результате чего THORChain освобождает исходящие средства до подтверждения исходного депозита. Фирма заявила, что проблема затронула каждую внешнюю цепочку, интегрированную с THORChain, и могла быть использована любым активным валидатором во время обычной ротации предлагающих.

Когда V12 сообщил о выплате, представитель THORChain ответил, что им «не известно о каком-либо вознаграждении за ошибки, проводимом в данный момент THORChain», и сказал, что команда остановила программу «давно», как следует из скриншотов. Затем V12 спросил, не выплачиваются ли выплаты даже за критические ошибки.

Личность контакта на изображениях была отредактирована. Аккаунт V12 основан на сообщениях, которые он опубликовал сам, представляя одну сторону обмена; THORChain не подтвердил их подлинность или наличие обнаруженной ошибки.

Патч, который так и не был отправлен

Согласно истории коммитов THORNode, разработчики THORChain написали исправление ошибки, связанной с подделкой предложения, 6 мая, за девять дней до эксплойта от 15 мая. Анализ атаки, проведенный Blockaid, показал, что подписи валидаторов не охватывают входящие или исходящие поля транзакции, что позволяет предлагающему превратить реальное входящее наблюдение в исходящую выплату на адреса, контролируемые злоумышленником. Исследователи заявили, что патч от 6 мая исправил именно это поведение, но не прошел процесс непрерывной интеграции протокола и не был вовремя распространен среди валидаторов.

Ошибка V12, обнаруженная 28 апреля, описана почти идентично описанию патча и уязвимости, которую исследователи обвиняют в эксплойте.

THORChain не опубликовал полное вскрытие и не подтвердил, что обнаруженная ошибка и использованная ошибка совпадают, а V12 не заявила в своем сообщении явно, что злоумышленник 15 мая использовал свои выводы. Blockaid и ZachXBT заявили, что, по их мнению, злоумышленник, произошедший 15 мая, — тот же участник, который организовал атаку на 1-дюймовый Fusion V1 в марте 2025 года.

Автоматизированная защита THORChain действительно сдержала инцидент 15 мая: операторы узлов инициировали остановку всей сети, заморозив торговлю, подписание и отток валидаторов примерно на 13 часов, и команда заявила, что ни одна смена отдельных пользователей не пострадала. В протоколе раскрыта потеря через Discord и X, как описано в отчете The Defiant о компрометации хранилища Асгарда.

Связь между отчетом V12 и эксплойтом от 15 мая, хотя и соответствует описанию фирмы, фиксации патча и стороннему судебно-медицинскому анализу, не была подтверждена THORChain и не заявлена ​​напрямую V12.

Программа вознаграждений на ретрите

В 2021 году THORChain объявила награду за обнаружение ошибок в Immunefi в размере 500 000 долларов США после серии эксплойтов. Позже из-за разногласий он покинул эту платформу и перешел на самостоятельную программу, которая, по словам исследователей, была прекращена в марте 2026 года, за два месяца до майского эксплойта. В ноябре 2024 года исследователь Люк Паркер публично обвинил протокол в отказе от программы Immunefi после платформы.