THORChain Incident Update
THORChain meddelade att utvecklare och säkerhetsteam fortfarande arbetar för att få nätverket online igen efter incidenten den 15 maj. I sin senaste uppdatering sa protokollet att fokus ligger på att återställa nätverket på ett säkert sätt, ”utan att skynda på några steg.”
Exploateringsrapport och åtgärder
Uppdateringen kommer efter att THORChains officiella exploateringsrapport visade att nätverket förlorade cirka 10,7 miljoner dollar från ett av fem valv. Rapporten angav att en ny nodoperatör kom in i nätverket två dagar före exploateringen och utnyttjade en sårbarhet i GG20 Threshold Signature Scheme för att tömma det drabbade valvet. De återstående fyra valven påverkades inte.
THORChain meddelade att noder har uppgraderats till version 3.18.1, en patch som också återställer Rujira Networks förmåga att hantera kreditkonton, inklusive lån och återbetalningar. Nästa steg är att klippa och testa version 3.19.0, som kommer att inkludera fler förändringar innan någon huvudnätversion släpps.
Återhämtningsplan och belöningar
Protokollet sa att släppet förväntas flyttas till stagenet i slutet av följande dag, men tillade att en ”exakt tidslinje ännu inte har bekräftats.” När huvudnätversionen är redo kommer nodoperatörer att uppmanas att snabbt uppgradera så att nätverket kan återstarta på ett säkert sätt.
Den senaste uppdateringen meddelade att ADR028 har godkänts av noder, vilket flyttar THORChains återhämtningsplan till nästa fas. Förslaget öppnades för omröstning efter incidenten och satte den huvudsakliga återhämtningsriktningen för protokollet.
THORChain sa att belöningsfönstret är aktivt, vilket ger angriparen en chans att återlämna en del av de stulna medlen. Protokollet meddelade också att det planerar att täcka den återstående förlusten med protokollägd likviditet, även om slutgiltiga siffror kommer att delas senare. Återhämtningsplanen inkluderar också fullständig slashing av angriparens nod.
Säkerhetsåtgärder och framtida steg
THORChain sa tidigare att oskyldiga noder som var i samma valv skulle skyddas, medan återhämtad RUNE skulle paras ihop med återhämtade tillgångar från det drabbade valvet. Eventuell överskotts-RUNE skulle brännas. THORChain meddelade också att tss-lib har flyttats till stängd källkod i några veckor för att ge THORSec tid att slutföra en fullständig säkerhetsrevision utan att exponera aktivt åtgärdsarbete.
Den officiella exploateringsrapporten visade att automatiska solvabilitetskontroller upptäckte valvobalansen inom några minuter. Nodoperatörer använde sedan manuella pauser och Mimir-styrningsomröstningar för att stoppa handel, signering, kedjeobservation och churn inom cirka två timmar efter att gemenskapen larmade.
Återstartprocessen har nu två tester. Det första är tekniskt: utvecklarna behöver bekräfta att de patchade versionerna kan stödja säkra nätverksoperationer. Det andra är finansiellt: protokollet måste slutföra förlusttäckning, belöningsvillkor och återhämtningssiffror utan att skapa ny RUNE-tillgång.
