coin-img-ETHETH-3.20%coin-img-BTCBTC-2.34%coin-img-HYPEHYPE-5.54%coin-img-BITKBITK-56.75%coin-img-SOULCORESOULCORE-22.15%coin-img-SOLSOL-3.33%coin-img-XRPXRP-2.86%coin-img-USDCUSDC+0.01%coin-img-ETHETH-3.20%coin-img-BTCBTC-2.34%coin-img-HYPEHYPE-5.54%coin-img-BITKBITK-56.75%coin-img-SOULCORESOULCORE-22.15%coin-img-SOLSOL-3.33%coin-img-XRPXRP-2.86%coin-img-USDCUSDC+0.01%coin-img-ETHETH-3.20%coin-img-BTCBTC-2.34%coin-img-HYPEHYPE-5.54%coin-img-BITKBITK-56.75%coin-img-SOULCORESOULCORE-22.15%coin-img-SOLSOL-3.33%coin-img-XRPXRP-2.86%coin-img-USDCUSDC+0.01%coin-img-ETHETH-3.20%coin-img-BTCBTC-2.34%coin-img-HYPEHYPE-5.54%coin-img-BITKBITK-56.75%coin-img-SOULCORESOULCORE-22.15%coin-img-SOLSOL-3.33%coin-img-XRPXRP-2.86%coin-img-USDCUSDC+0.01%

THORChain предложил план восстановления NoRunesMinted после эксплойта на $10,7 млн

THORChain оценивает ущерб от атаки 15 мая примерно в $10,7 млн: уязвимости в пороговой схеме подписи протокола использовал недобросовестный оператор ноды. Команда представила план компенсаций ADR028, ключевой тезис которого — покрыть потери без выпуска или продажи новых RUNE. Как произошла атака и почему ущерб не стал больше По данным проекта, злоумышленником оказался новый оператор ноды, присоединившийся к сети всего за два дня до инцидента. Атака была нацелена на GG20 Threshold Signature Scheme — криптографический механизм, управляющий распределенным хранением ключей хранилищ в инфраструктуре THORChain. Смысл TSS в том, что доступ к ключам разделен между несколькими операторами, чтобы ни один участник не мог единолично распоряжаться средствами. Эксплуатируя слабые места, атакующий смог реконструировать критически важные приватные ключи хранилищ. Аномалию в течение минут зафиксировал автоматический модуль контроля платежеспособности. Торговые и подписывающие операции остановили, а сеть полностью заморозили примерно за два часа. В протоколе заявляют, что прямых потерь пользовательских средств и позиций провайдеров ликвидности не было. Оперативность реакции обеспечил механизм управления Mimir, позволяющий операторам нод быстро менять критические параметры без длительных циклов голосования. План ADR028: откуда возьмут деньги ADR028 задает последовательность покрытия дефицита: 1) в первую очередь задействуется Protocol-Owned Liquidity (POL) — собственная ликвидность протокола, размещенная в пулах. POL должен поглотить максимально возможную часть потерь на $10,7 млн; 2) оставшийся непокрытый объем распределяется пропорционально между держателями синтетических активов. Синтетические активы в THORChain — это производные представления активов вроде Bitcoin или Ethereum внутри пулов протокола. Если резервов POL не хватит, владельцы синтетиков получат пропорциональную "стрижку". Главное обещание ADR028 — отказ от эмиссии RUNE В документе отдельно подчеркивается, что новых токенов RUNE не будут ни чеканить, ни продавать для закрытия дыры. На рынке DeFi после взломов нередко используют инфляционные решения для докапитализации, фактически размывая долю текущих держателей. THORChain заявляет, что этот путь исключен, называя это одновременно финансовой и управленческой позицией. Параллельно протокол объявил вознаграждение для whitehat-исследователей, которые помогут вернуть средства. Также внедряются дополнительные патчи, закрывающие уязвимости GG20 TSS, в рамках промежуточного исправления, выпущенного вскоре после инцидента. Контекст: риски кроссчейн-инфраструктуры Кроссчейн-протоколы остаются одним из наиболее опасных сегментов DeFi: им приходится управлять ключами, подписями и консенсусом сразу в нескольких сетях, а каждая новая интегрируемая цепочка расширяет поверхность атаки. С 2021 года отрасль потеряла миллиарды долларов из-за взломов, и мосты/кроссчейн-инфраструктура стабильно входят в число главных целей. У THORChain уже были инциденты в предыдущие годы, и текущий эпизод вписывается в эту проблему. Для инвесторов быстрая остановка и автоматические проверки выглядят сильной стороной, но сам факт, что оператор, пришедший 48 часов назад, смог реконструировать ключи хранилищ, ставит вопросы к безопасности онбординга и допущениям процесса churn. Что это означает для рынка и держателей Наиболее важный для инвесторов пункт — отказ от размывания предложения: держателей RUNE не просят оплачивать ущерб через инфляцию, что сохраняет прежнюю логику токеномики. Дальше внимание будет приковано к качеству устранения уязвимостей GG20 TSS и к возможному ужесточению требований к новым операторам нод. Отдельная зона риска — синтетические активы. Если POL не перекроет весь дефицит в $10,7 млн, сокращение синтетических позиций может ударить по ликвидности и торговой активности в пулах THORChain: падение глубины обычно расширяет спреды и ухудшает условия кроссчейн-свопов. Предложенная схема восстановления может стать ориентиром для рынка: если ADR028 позволит закрыть дыру без эмиссии и без устойчивого проседания ликвидности, другие проекты смогут ссылаться на этот подход. Если нет — это усилит аргумент, что кроссчейн-инфраструктуре требуется иная, более надежная архитектура безопасности, чем у одноцепочечных протоколов. Вознаграждение за возврат средств добавляет неопределенность: в прошлом часть атакующих возвращала активы в обмен на выплату и неформальные гарантии. Вернет ли средства злоумышленник в этом случае или уже провел их через миксеры и мосты, определит, какая доля дефицита $10,7 млн в итоге действительно ляжет на механизмы ADR028.
BTC
BTC-2.40%
ETH
ETH-3.29%
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.