THORChain sieht sich einer ernsten Sicherheitskrise gegenüber, nachdem das Startup für automatisierte Codeprüfung V12 mit der öffentlichen Veröffentlichung von Exploit-Code für mehrere unbehobene Schwachstellen gedroht hat. Das Ultimatum folgt auf einen bitteren Streit über einen zuvor öffentlich gemachten kritischen Fehler, den THORChain laut V12 stillschweigend behoben hat, ohne V12 Anerkennung oder finanzielle Entschädigung zu gewähren.
V12 gab an, das hohes Risiko enthaltende Sicherheitsproblem in gutem Glauben an das Sicherheitsteam von THORChain gemeldet zu haben. Anstatt die Meldung über übliche Bug-Bounty-Kanäle abzuwickeln, habe THORChain angeblich einen stillen Patch eingesetzt, um das Problem zu beheben. Als V12 ihre Belohnung forderte, habe das Protokollteam mitgeteilt, dass das Prämienprogramm „dauerhaft eingestellt“ sei, sodass die Forscher leer ausgingen.
Dieser Konflikt verdeutlicht die zunehmenden Spannungen zwischen unabhängigen Sicherheitsforschern und dezentralen Protokollen bezüglich der Auszahlung von Prämien. Für THORChain, ein Cross-Chain-Liquiditätsprotokoll, das den nativen Austausch von Assets zwischen verschiedenen Blockchains erlaubt, ist Sicherheit existenziell. Das Protokoll war bereits Ziel von Exploits im Millionenbereich, weshalb jede unbehobene Schwachstelle ein großes Risiko für Liquiditätsanbieter darstellt.
Die Entscheidung von V12, Exploit-Code für weitere ungepatchte Fehler zu veröffentlichen, erhöht die akute Gefahr von Zero-Day-Angriffen. Sollte V12 die Drohung umsetzen, könnten Angreifer den öffentlich zugänglichen Code nutzen, um Liquiditätspools schnell auszurauben, bevor die Kernentwickler Gegenmaßnahmen einführen können. Dieses Risiko wirkt sich bereits auf die Marktstimmung aus, wobei Händler den nativen Token RUNE und verbundene THOR-Assets genau beobachten und nach Anzeichen für Kapitalabflüsse suchen.
Historisch gesehen erleiden Brücken- und Cross-Chain-Protokolle bei öffentlich ausgetragenen Sicherheitskonflikten starke Liquiditätsabbrüche. Liquiditätsanbieter ziehen in solchen Situationen meist zuerst ihre Mittel ab, um nicht Opfer eines potenziellen Exploits zu werden.
Marktteilnehmer sollten in den nächsten 48 Stunden die offiziellen Entwicklerkanäle von THORChain sowie die On-Chain-Liquiditätsflüsse genau beobachten. Der wichtigste Indikator ist der Total Value Locked (TVL) von THORChain. Ein plötzlicher Rückgang des TVL würde darauf hinweisen, dass Liquiditätsanbieter aktiv Risiken reduzieren, bevor V12 den Exploit-Code veröffentlicht.
THORChain steht nach Streit um stillen Bugfix vor Exploit-Veröffentlichungen
THORChain behob eine kritische Schwachstelle, die V12 gemeldet hatte, ohne Anerkennung oder Bezahlung. V12 plant, bald Exploit-Code für weitere unbehobene Schwachstellen zu veröffentlichen.