Een schimmige node-operator heeft op 15 mei $10,7 miljoen uit THORChain gehaald via een GG20-kwetsbaarheid. Hier is de volledige tijdlijn, de beveiligingsreactie en wat er hierna komt.
Iemand voegde zich op 1 mei bij de ontwikkelaars-Discord van THORChain onder de gebruikersnaam Dinosauruss. Het account was nieuw. De vragen waren specifiek — hoe je een node in het netwerk kunt laten ‘churnen’ en hoe snel. Het normale churn-interval van drie dagen was al vertraagd om niet-gerelateerde redenen, wat wachten betekende.
Volgens de THORChain Exploit Report #1, gepubliceerd op 20 mei, kwam het node-adres (n84q) van de aanvaller op 13 mei eindelijk in de actieve validatorset. Ongeveer 635.000 RUNE verdeeld over twee bond-adressen. Willekeurig toegewezen aan een van vijf kluizen, zoals elke andere operator.
De Node die Binnenkwam en Nooit Wegging
Twee dagen lang nam de node deel aan routinematige GG20-ondertekeningsceremonies. Niets leek onregelmatig. GG20, of Gennaro-Goldfeder 2020, is het drempelsignatuurschema dat THORChain gebruikt om de controle over kluissleutels te verdelen over onafhankelijke operators. Geen enkele node heeft ooit de volledige privésleutel — onder normale omstandigheden.
De fout veranderde dat. Door progressieve lekkage van sleutelmateriaal in meerdere ondertekeningsrondes, reconstrueerde de aanvaller naar verluidt de volledige privésleutel van de kluis. Toen de reconstructie voltooid was, werden uitgaande transacties rechtstreeks ondertekend en uitgezonden, volledig buiten de GG20-ceremonie om.
De reactieve solvabiliteitscontroleur ontdekte de afwijking binnen enkele minuten. Het detecteerde dat het verwachte saldo het werkelijke on-chain saldo met meer dan 1% overschreed over meerdere ketens, wat leidde tot automatische stilstanden op ETH, AVAX, BSC, BASE, DOGE en GAIA zonder menselijke tussenkomst. De fondsen, in eerste schatting ruwweg $10M, waren al verplaatst.
Discord Vloog in Brand Voordat de Officiële Reactie Kwam
Toen de netwerkactiviteit stagnerde, meldde een communitylid ongebruikelijke transacties: meerdere verzendingen van de TC-router naar een Ethereum-adres zonder memo. Dat bericht werd het eerste door een mens geïnitieerde alarm. ZachXBT, op X, waarschuwde de community dat THORChain mogelijk meer dan $10M had verloren op Bitcoin, Ethereum, BSC en Base.
Node xuuu was de eerste die een handmatige pauze van 720 blokken plaatste. Anderen stapelden snel meer pauzes. Het bestuurssysteem van THORChain is precies hiervoor ontworpen: een enkele node kan het netwerk niet voor onbepaalde tijd vergrendelen, maar meerdere onafhankelijke nodes die snel handelen kunnen een stilstand lang genoeg volhouden om te onderzoeken. Op 15 mei stapelden ongeveer 18 tot 20 nodes gelijktijdig pauzes.
Formele Mimir-bestuursstemmen volgden via Discord. De drempel van drie stemmen voor operationele parameters werd gehaald. HALTTRADING geactiveerd op blok 26183438. HALTSIGNING op blok 26183439. HALTCHAINGLOBAL op blok 26183590. HALTCHURNING op blok 26183849 — die laatste specifiek om te voorkomen dat de kwaadaardige node het netwerk verliet.
Het hele netwerk werd binnen ongeveer twee uur na het alarm van de community op slot gedaan.
Wat het Onderzoek Vond, en Wat Het Achterhield
De eerste openbare verklaring van het ontwikkelingsteam kwam om 11:01 op 15 mei, met een schatting van de verliezen op $7,4M en drie onderzochte vectoren: een GG20-kwetsbaarheid, infrastructureel compromis en andere. Node-operators werd gevraagd om infrastructuur te auditen en Bifrost-logs in te dienen.
Om 19:10 diezelfde dag was het beeld duidelijker. On-chain forensisch onderzoek koppelde het kwaadaardige node-adres thor16ucjv3v695mq283me7esh0wdhajjalengcn84q aan de Ethereum-adressen die de gestolen fondsen ontvingen. Het herziene verliescijfer kwam uit op ongeveer $10,7M. Coördinatie met Outrider Analytics en wetshandhaving was al gaande, volgens het officiële rapport.
Het DeFi-beveiligingslandschap in 2026 had alleen al in april $620M aan verliezen gezien. Het incident van THORChain voegde nog gewicht toe aan zorgen over cryptografische laagkwetsbaarheden in cross-chain-infrastructuur.
Patch Uitgebracht, Herstel Nog Open
Op 16 mei gaf het marketingteam een oplichtingswaarschuwing uit. Nep airdrop- en terugbetalingsregelingen waren al aan het verspreiden op sociale media. THORChain bevestigde dat het geen actief terugbetalings- of airdropprogramma heeft.
Op 18 mei was patch v3.18.1 op handen. Het ontwikkelteam zei dat het een goed begrip had van de aanval, maar technische details zou achterhouden tot andere projecten die dezelfde GG20-implementatie gebruiken, discreet gewaarschuwd konden worden en hun eigen systemen konden patchen. Alle node-operators werd gevraagd om Bifrost-pods te verkleinen voorafgaand aan de release.
Het volledige herstelpad valt onder community governance. ADR-028, de Architecture Decision Record die momenteel open staat voor discussie, zal bepalen hoe de verloren fondsen worden afgehandeld. Opties die worden besproken zijn onder meer bond-slashen en protocol-owned liquiditeitsabsorptie. De gekozen aanpak zal naar verwachting worden geïmplementeerd in v3.19.
THORChain had al DKLS, een moderner drempelsignatuurschema, geïdentificeerd als zijn cryptografische langetermijndoel. Silence Labs was in november 2025 ingeschakeld om een aangepaste DKLS-implementatie te bouwen met identificeerbare abortussen. De beoogde levering was Q1/Q2 2026. GG20 bleef in de tussentijd in productie. De aanvaller arriveerde in mei.
Geef een reactie