THORChain (RUNE), 15 Mayıs'ta kötü niyetli bir düğüm operatörünün tek bir kasadan yaklaşık 10,7 milyon dolar çekerek ağın tüm ticaret ve imzalama işlemlerini durdurmasına neden olan bir istismarın ardından kurtarma yolunu belirlemek için bir topluluk yönetişim oylaması açtı. CoinGecko verilerine göre RUNE token'ı olayın yaşandığı gün %10 değer kaybetti.
Protokolün geliştirme ekibi, olay sonrası raporunda saldırıyı detaylandırarak, kaybı GG20 eşik imza şemasının karmaşık bir şekilde istismar edilmesine bağladı. Raporda, "Birden fazla imzalama turunda aşamalı anahtar materyali sızıntısı yoluyla, saldırganın kasanın tam özel anahtarını yeniden oluşturduğu bildirildi" denildi. Bu, saldırganın çok taraflı güvenlik modelini atlayarak işlemleri doğrudan imzalamasına olanak tanıdı.
Zincir üstü analizler, saldırganın 635.000 RUNE bağladıktan (bonding) sonra 13 Mayıs'ta doğrulayıcı setine girdiğini doğruladı. İstismar iki gün sonra başladı ve otomatik ödeme gücü denetleyicileri yetkisiz işlemlerden sonraki 52 dakika içinde altı zinciri durdurdu. Düğüm operatörleri daha sonra Mimir yönetişim oylamalarını kullanarak tam bir ağ kilitlemesi koordine etti ve kötü niyetli düğümün çıkış yapmasını ve teminatını geri almasını engelledi.
Bu olay, çapraz zincir altyapısına yönelik giderek karmaşıklaşan saldırılarla damgalanan 2026 yılında DeFi saldırılarında kaybedilen 840 milyon dolardan fazlasına eklendi. THORChain istismarı, bu yılki diğer büyük kayıpları karakterize eden sosyal mühendislik veya köprü odaklı saldırılardan farklı olarak, özellikle kriptografik katmanı hedef aldı.
İstismar: Kötü Niyetli Bir Düğüm ve GG20 Hatası
Saldırı, 1 Mayıs'ta Dinosauruss kullanıcı adıyla geliştirici Discord kanalına katılan yeni bir düğüm operatörü tarafından başlatıldı. Aktif doğrulayıcı setine girdikten sonra operatör, GG20 imzalama sürecindeki bir hatayı kullanarak iki gün boyunca bir kasadan anahtar materyallerini kademeli olarak sızdırdı. Tam özel anahtar yeniden oluşturulduktan sonra saldırgan fonları doğrudan çekti; güvenlik araştırmacısı ZachXBT, X'te şüpheli giden işlemleri ilk işaretleyenler arasındaydı.
Yanıt ve Ağın Durdurulması
THORChain'in güvenlik modeli katmanlar halinde yanıt verdi. Bakiye tutarsızlıklarını izleyen protokolün otomatik ödeme gücü denetleyicisi ilk olarak tetiklendi ve etkilenen zincirlerdeki faaliyeti durdurdu. Bunu, 18'den fazla düğüm operatörünün durum araştırılırken ağın durdurulmasını sürdürmek için duraklatma komutlarını yığmasıyla topluluktan gelen manuel bir yanıt izledi. Ekip o zamandan beri güvenlik açığını gidermek için v3.18.1 yamasını yayınladı ve aynı GG20 uygulamasını kullanan diğer projelerle koordinasyon sağlıyor.
ADR-028: Kurtarma Üzerine Bir Topluluk Oylaması
Tam ağ işlevselliğini geri kazanma ve finansal kaybı giderme yolu artık Mimari Karar Kaydı 028 (ADR-028) üzerindeki bir yönetişim oylamasına bağlı. Teklif, açığı kapatmak için protokolün kendi likiditesini (POL) kullanarak kullanıcıları mağdur etmemeyi planlıyor. Plan, açıkça yeni RUNE basılmayacağını belirtiyor. Ayrıca, fonların büyük çoğunluğunu iade etmesi karşılığında bilgisayar korsanına bir ödül sunulmasını öngören bir hüküm de içeriyor. Oylama, kayıpların protokol tarafından mı karşılanacağını yoksa saldırganın teminatının kesilmesi (slashing) gibi diğer önlemlerin mi kullanılacağını belirleyecek.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
