THORChain втратив приблизно 10,7 мільйона доларів США 15 травня, коли зловмисний оператор ноди використав уразливості в схемі порогового підпису протоколу. Зараз проект має план виправити ситуацію, і він не передбачає друку додаткових токенів.
Пропозиція відновлення, відома як ADR028, передбачає покриття збитків спочатку за рахунок ліквідності, що належить протоколу, а будь-яку залишкову недостачу розподіляється пропорційно між власниками синтетичних активів. Новий RUNE не буде створюватися чи продаватися. Для існуючих власників це найважливіша деталь.
Що сталося і як це було зупинено
Атакувач був новим оператором ноди, який увійшов до мережі THORChain лише за два дні до експлойту. Цього короткого періоду вистачило, щоб провести атаку на схему порогового підпису GG20 — криптографічну систему, яка регулює управління ключами сейфів у децентралізованій інфраструктурі THORChain.
THORChain використовує систему, за якою кілька операторів нод спільно керують ключами сейфів, тому жодна окрема сторона не може отримати доступ до коштів самостійно. Зловмисник знайшов спосіб відновити критичні приватні ключі сейфів через вразливості в цій системі, ефективно відкривши замок скарбниці протоколу.
Добра новина полягає в тому, що автоматизований перевірник платоспроможності THORChain виявив аномалію протягом кількох хвилин. Операції з торгівлі та підпису було призупинено, а оператори нод координували повне заморожування мережі приблизно за дві години. Ця швидкість запобігла потенційно значно більшому відтоку.
За даними протоколу, прямі втрати не вплинули на кошти користувачів чи позиції постачальників ліквідності. Швидка реакція була можливою завдяки системі управління Mimir THORChain, яка дозволяє операторам нод змінювати критичні параметри без очікування тривалих циклів управління. Уявіть це як аварійний гальмівний механізм, який справді працює.
План відновлення: ADR028
Ось як структурована ADR028. Першим рівнем захисту є ліквідність, що належить протоколу, тобто власні капітальні резерви протоколу, які існують у його ліквідних пулах. POL поглинає якомога більшу частину збитків у розмірі 10,7 мільйона доларів США, перш ніж активуються інші механізми.
Все, що POL не може покрити, розподіляється пропорційно серед власників синтетичних активів. Синтетичні активи на THORChain — це деривативні представлення активів, таких як bitcoin або ethereum, які існують у пулах протоколу. Власники цих синтетичних активів несуть пропорційну частину будь-якого залишкового дефіциту.
Критичним зобов’язанням у ADR028 є те, що він відкрито не зробить: не буде створювати нові токени RUNE. Після хакерської атаки багато протоколів звертаються до інфляційних заходів, щоб рекапіталізуватися, ефективно зменшуючи вартість кожного існуючого токена, щоб покрити дефіцит. THORChain займає позицію, що розведення власників виключено.
Це має значення, бо розведення токенів після експлойтів стало певною закономірністю в DeFi. Це найпростіший спосіб вирішення проблеми, але він карає тих, хто залишився. Виключаючи це з самого початку, THORChain робить не лише фінансове, а й управлінське твердження.
Протокол також запропонував винагороду для білих шапочок, які готові допомогти повернути вкрадені кошти — це стандартна, але часто ефективна стратегія у відновленні після експлуатації. Додаткові безпекові патчі, спрямовані на вразливості GG20 TSS, зараз реалізуються як частина тимчасового виправлення, запущеного всього через декілька хвилин після інциденту.
Більш широкий патерн міжланцюгового ризику
Міжланцюгові протоколи займають унікально небезпечний кут децентралізованої фінансової системи. За дизайном вони з’єднують активи між різними блокчейнами, що означає, що повинні керувати ключами, підписами та механізмами консенсусу, які охоплюють кілька мереж одночасно. Кожен додатковий ланцюг — це ще одна поверхня атаки.
З 2021 року блокчейн-простір втратив мільярди через експлуатації, і крос-чейн містичні мости постійно входили до числа найбільш цільових інфраструктурних компонентів. THORChain сама мала справу з інцидентами безпеки в попередні роки, що робить цю останню експлуатацію частиною повторюваного виклику, а не разової події.
Подивіться, час відповіді дві години та автоматизовані перевірки платоспроможності справді вражають для децентралізованої системи. Більшість традиційних фінансових установ мали б труднощі швидко виявити та зупинити порушення. Але той факт, що оператор ноди, який приєднався лише за 48 годин до цього, зміг відновити ключі сейфів, піднімає серйозні питання щодо безпеки процесу онбордингу та припущень про довіру, закладених у процесі чорнення.
Що це означає для інвесторів
Зобов’язання щодо відсутності розведення в ADR028 — це найважливіший деталь, що стосується інвесторів. Власникам RUNE не пропонується компенсувати збитки через інфляцію, що зберігає динаміку пропозиції токена. На ринку, де скарбниці протоколів і токеноміка можуть змінитися за одну ніч після хакерської атаки, така чітка гарантія має велике значення.
Але довіра не будується лише на обіцянках. Інвестори повинні стежити за тим, наскільки ефективно THORChain усуває вразливості GG20 TSS, чи впроваджує протокол строгіші вимоги до нових операторів нод. Двадцятирічний проміжок між приєднанням до мережі та здійсненням експлойту на $10,7 млн свідчить про те, що бар’єри для зловмисників потрібно значно підсилити.
Також варто стежити за тим, щоб власники синтетичних активів несли пропорційні втрати. Якщо резерви POL не зможуть покрити повну суму у $10,7 мільйона, зменшення вартості синтетичних позицій може вплинути на ліквідність і торгівельну активність у пулах THORChain. Зменшення ліквідності зазвичай призводить до розширення спредів і зменшує конкурентоспроможність протоколу для крос-чейн обмінів.
Щодо ширшого ринку DeFi, підхід THORChain до відновлення може стати прецедентом. Якщо ADR028 успішно відновить протокол без розведення та без тривалих пошкоджень глибини ліквідності, він стане шаблоном, на який зможуть посилатися інші проекти. Якщо ж він не впорається, це стане ще однією вибіркою у зростаючому аргументі про те, що крос-чейн інфраструктура потребує фундаментально іншої архітектури безпеки, ніж одноланцюгові протоколи.
Винагорода за відновлення коштів додає елемент невизначеності. Історично деякі зловмисники повертали кошти у обмін на винагороду та імунітет від переслідування. Чи прийме атакуючий цю угоду чи вже переслав кошти через міксери та мости, визначить, яку частину цього дефіциту в розмірі 10,7 мільйона доларів справді доведеться покрити.