THORChain affronta una grave crisi di sicurezza dopo che la startup di auditing automatico del codice V12 ha minacciato di pubblicare il codice exploit per diverse vulnerabilità non ancora corrette. L’ultimatum arriva a seguito di un acceso confronto su un bug critico già indicato, che V12 sostiene sia stato risolto da THORChain in modo silenzioso, senza attribuzione né compenso economico.
Secondo V12, la startup aveva comunicato in buona fede una vulnerabilità ad alta gravità al team di sicurezza di THORChain. Invece di gestire la indicazione attraverso i consueti programmi di bug bounty, THORChain avrebbe applicato una patch silenziosa per risolvere il problema. Quando V12 ha chiesto il premio, il team del protocollo ha risposto che il programma di ricompense era stato “ritirato definitivamente”, lasciando così i ricercatori senza alcun riconoscimento.
Questo episodio evidenzia le crescenti tensioni tra ricercatori indipendenti di sicurezza e protocolli decentralizzati riguardo ai pagamenti delle bounty. Per THORChain, un protocollo cross-chain che consente lo scambio di asset nativi tra diverse blockchain, la sicurezza è una questione cruciale. Il protocollo è stato storicamente bersaglio di exploit multimilionari, rendendo ogni vulnerabilità non corretta un rischio molto elevato per i fornitori di liquidità.
La decisione di V12 di pubblicare il codice exploit per altre falle ancora aperte aumenta l’imminente pericolo di attacchi zero-day. Se la startup porterà avanti la minaccia, attori malevoli potrebbero utilizzare il codice pubblico per svuotare i pool di liquidità prima che gli sviluppatori core riescano a distribuire le correzioni. Questo rischio sta già influenzando il sentimento del mercato, con i trader che monitorano attentamente il token nativo RUNE e gli asset associati a THOR in cerca di indizi di fuga di capitali.
Storicamente, i protocolli bridge e cross-chain subiscono forti contrazioni di liquidità quando le dispute legate alla sicurezza diventano pubbliche. I fornitori di liquidità di solito ritirano prima gli asset e chiedono spiegazioni dopo, per evitare di restare coinvolti in un eventuale exploit.
Gli operatori di mercato devono seguire con attenzione i canali ufficiali degli sviluppatori di THORChain e i flussi di liquidità on-chain nelle prossime 48 ore. Il parametro chiave da osservare è il Total Value Locked (TVL) di THORChain. Qualunque calo improvviso del TVL indicherà che i fornitori di liquidità stanno attivamente riducendo i rischi in vista della potenziale pubblicazione di V12.
THORChain sotto pressione dopo patch silenziosa e minaccia di exploit da V12
THORChain ha corretto un bug critico indicato da V12 senza riconoscimenti né pagamenti. V12 prepara il rilascio di exploit per altre vulnerabilità non corrette, mettendo a rischio la sicurezza del protocollo.