Уязвимость GG20 привела к взлому THORChain на $10,7 млн

Эксплойт протокола THORChain на сумму около $10,7 млн был вызван уязвимостью в схеме пороговой подписи GG20. Как сообщается в пост-мортем-отчёте, злоумышленный оператор узла использовал эту брешь для восстановления полного приватного ключа одного из хранилищ. Обычно GG20 распределяет управление ключом между несколькими узлами, так что ни один из них не имеет полного доступа.

Уязвимость позволяла постепенно утекать материал ключа. Автоматические проверки платёжеспособности THORChain сработали в течение нескольких минут после атаки, остановив подписание и торговлю на нескольких блокчейнах без вмешательства человека. Операторы узлов через Discord скоординировали полную остановку сети в течение двух часов и применили патч для устранения уязвимости.

Пост-мортем подтвердил, что автоматические проверки предотвратили вывод дополнительных средств. Инцидент произошёл через неделю после того, как аналитик ZachXBT сообщил о краже. Согласно DefiLlama, в апреле 2026 года криптоэксплойты выросли, превысив $634 млн.

THORChain рассматривает путь восстановления без продажи токенов RUNE. Сообщество голосует по предложению ADR-028, которое предусматривает покрытие потерь сначала за счёт ликвидности протокола, а остаток распределяется между держателями синтетических активов. Ликвидность будет пополняться за счёт части доходов протокола. Выпуск или продажа RUNE не предусмотрены.

Также THORChain предложил вознаграждение за возврат украденных средств и заявил, что сократит злоумышленный узел, сохранив при этом честные узлы, попавшие в то же хранилище. ADR-028 предполагает сохранение существующей структуры GG20 TSS в обновлённой версии; торговля возобновится только после исправления уязвимости.

Криптоаналитик Bird отметил, что уязвимость указывает на проблемы с генерацией случайных чисел или изоляцией локальной подписи, но похвалил автоматическую защиту THORChain, ограничившую ущерб. Другие эксперты критикуют решение сохранить GG20, называя его «чёрным ящиком». Токен RUNE подешевел на 15,5% за неделю после взлома, но восстановился на 4% за сутки до 11:00 UTC 22 мая.