THORChain kehilangan sekitar $10,7 juta pada 15 Mei setelah operator node jahat memanfaatkan kerentanan dalam skema tanda tangan ambang protokol. Sekarang proyek ini memiliki rencana untuk memperbaiki semuanya, dan rencana itu tidak melibatkan pencetakan lebih banyak token.
Usulan pemulihan, dikenal sebagai ADR028, berkomitmen untuk menutup kerugian terlebih dahulu melalui Likuiditas yang Dimiliki Protokol, dengan kekurangan yang tersisa didistribusikan secara proporsional kepada pemegang aset sintetis. Tidak akan ada RUNE baru yang dicetak atau dijual. Bagi pemegang yang ada, itu adalah detail yang paling penting.
Apa yang terjadi dan bagaimana hal itu dihentikan
Penyerang adalah operator node baru yang baru bergabung ke jaringan THORChain hanya dua hari sebelum eksploitasi. Jendela singkat itu cukup untuk melancarkan serangan yang menargetkan Skema Tanda Tangan Threshold GG20, sistem kriptografi yang mengatur bagaimana kunci vault dikelola di seluruh infrastruktur terdesentralisasi THORChain.
THORChain menggunakan sistem di mana beberapa operator node secara kolektif mengendalikan kunci vault, sehingga tidak ada pihak tunggal yang dapat mengakses dana sendirian. Penyerang menemukan cara untuk merekonstruksi kunci pribadi vault kritis melalui kerentanan dalam sistem ini, secara efektif membuka kunci perbendaharaan protokol.
Berita baiknya adalah checker solvensi otomatis THORChain mendeteksi anomali tersebut dalam hitungan menit. Operasi perdagangan dan penandatanganan dihentikan, dan operator node berkoordinasi untuk sepenuhnya membekukan jaringan dalam waktu sekitar dua jam. Kecepatan ini mencegah penarikan yang bisa saja jauh lebih besar.
Tidak ada kerugian langsung yang memengaruhi dana pengguna atau posisi penyedia likuiditas, menurut protokol. Respons cepat dimungkinkan oleh sistem tata kelola Mimir THORChain, yang memungkinkan operator node menyesuaikan parameter kritis tanpa menunggu siklus tata kelola yang panjang. Anggaplah ini sebagai rem darurat yang benar-benar berfungsi.
Rencana pemulihan: ADR028
Berikut adalah struktur ADR028. Lini pertahanan pertama adalah Protocol-Owned Liquidity, pada dasarnya cadangan modal protokol itu sendiri yang ada dalam kolam likuiditasnya. POL menyerap sebanyak mungkin kerugian $10,7 juta sebelum mekanisme lainnya aktif.
Apa pun yang tidak ditutupi oleh POL akan didistribusikan secara proporsional kepada pemegang aset sintetis. Aset sintetis di THORChain adalah representasi derivatif dari aset seperti Bitcoin atau Ethereum yang ada dalam pool protokol. Pemegang aset sintetis ini akan menanggung bagian proporsional dari defisit yang tersisa.
Komitmen kritis dalam ADR028 adalah apa yang secara eksplisit tidak akan dilakukannya: mencetak token RUNE baru. Setelah serangan peretasan, banyak protokol beralih ke langkah inflasioner untuk merekapitalisasi, secara efektif membuat setiap token yang ada menjadi sedikit lebih murah untuk menutupi kekurangan tersebut. THORChain mengambil posisi bahwa pendilusian pemegang tidak menjadi pilihan.
Ini penting karena pelanggaran token setelah eksploitasi telah menjadi pola dalam DeFi. Ini adalah cara termudah untuk dilakukan, tetapi menghukum orang-orang yang tetap bertahan. Dengan menyingkirkan opsi ini sejak awal, THORChain membuat pernyataan tata kelola sekaligus pernyataan keuangan.
Protokol tersebut juga menawarkan bounty bagi para peretas etis yang bersedia membantu mengembalikan dana yang dicuri, sebuah langkah standar namun sering efektif dalam pemulihan pasca-eksploitasi. Patch keamanan tambahan yang ditujukan untuk kerentanan GG20 TSS sedang diterapkan sebagai bagian dari solusi sementara yang dirilis tak lama setelah insiden tersebut.
Pola lebih luas mengenai risiko lintas rantai
Protokol lintas-chain menempati sudut yang secara unik berisiko dalam keuangan terdesentralisasi. Secara desain, mereka menghubungkan aset di berbagai blockchain, yang berarti mereka harus mengelola kunci, tanda tangan, dan mekanisme konsensus yang mencakup beberapa jaringan secara bersamaan. Setiap chain tambahan adalah permukaan serangan lainnya.
Ruang blockchain telah kehilangan miliaran dolar akibat eksploitasi sejak 2021, dan jembatan lintas-chain secara konsisten menjadi infrastruktur yang paling sering menjadi sasaran. THORChain sendiri telah menghadapi insiden keamanan di tahun-tahun sebelumnya, menjadikan eksploitasi terbaru ini bagian dari tantangan berulang, bukan kejadian tunggal.
Lihat, waktu respons dua jam dan pemeriksaan solvensi otomatis benar-benar mengesankan untuk sistem terdesentralisasi. Sebagian besar lembaga keuangan tradisional akan kesulitan mengidentifikasi dan menahan pelanggaran secepat itu. Namun, fakta bahwa operator node yang bergabung hanya 48 jam sebelumnya dapat merekonstruksi kunci vault menimbulkan pertanyaan serius tentang keamanan onboarding dan asumsi kepercayaan yang tertanam dalam proses churning.
Apa artinya ini bagi para investor
Komitmen tanpa pelemahan dalam ADR028 adalah detail paling relevan bagi investor. Pemegang RUNE tidak diminta menanggung kerugian melalui inflasi, yang melestarikan dinamika pasokan token. Di pasar di mana kas protokol dan ekonomi token dapat berubah semalam setelah peretasan, jaminan eksplisit semacam itu memiliki bobot.
Namun, kepercayaan tidak dibangun hanya atas janji-janji. Investor harus memantau seberapa efektif THORChain memperbaiki kerentanan GG20 TSS dan apakah protokol menerapkan persyaratan yang lebih ketat bagi operator node baru. Jendela waktu dua hari antara bergabung ke jaringan dan melakukan eksploitasi senilai $10,7 juta menunjukkan bahwa hambatan masuk bagi pelaku jahat perlu diperketat secara signifikan.
Pemegang aset sintetis yang menanggung kerugian proporsional juga patut dipantau. Jika cadangan POL tidak dapat menutupi seluruh $10,7 juta, potongan nilai pada posisi sintetis dapat memengaruhi likuiditas dan aktivitas perdagangan di seluruh kolam THORChain. Likuiditas yang berkurang cenderung melebarkan spread dan membuat protokol kurang kompetitif untuk pertukaran lintas rantai.
Untuk pasar DeFi yang lebih luas, pendekatan pemulihan THORChain bisa menjadi preseden. Jika ADR028 berhasil memulihkan protokol tanpa pelemahan dan tanpa kerusakan jangka panjang terhadap kedalaman likuiditas, ia menjadi template yang bisa dijadikan acuan oleh proyek-proyek lain. Jika gagal, ia menjadi titik data lain dalam argumen yang semakin kuat bahwa infrastruktur lintas-rantai membutuhkan arsitektur keamanan yang berbeda secara mendasar dibandingkan protokol satu-rantai.
Bounty untuk pemulihan dana menambahkan elemen tak terduga. Secara historis, beberapa pelaku eksploitasi telah mengembalikan dana sebagai ganti bounty dan kekebalan dari penuntutan. Apakah pelaku dalam kasus ini menerima penawaran tersebut, atau telah memindahkan dana melalui mixer dan jembatan, akan menentukan seberapa besar defisit $10,7 juta yang benar-benar perlu diserap.