THORChain kampt met een grote beveiligingscrisis nadat de geautomatiseerde code-audit startup V12 heeft gedreigd met het openbaar maken van exploitcode voor meerdere niet-gepatchte kwetsbaarheden. Dit ultimatum volgt op een bittere ruzie over een eerder gemelde kritieke bug, die V12 beweert dat THORChain stilletjes heeft gepatcht zonder erkenning of financiële compensatie te geven.
Volgens V12 heeft de startup een kwetsbaarheid met hoge ernst in goed vertrouwen gemeld aan het beveiligingsteam van THORChain. In plaats van de melding via de gebruikelijke bug bounty-kanalen te verwerken, zou THORChain de kwetsbaarheid stiekem hebben verholpen. Toen V12 hun beloning opvroeg, liet het protocolteam hen weten dat het beloningsprogramma “permanent beëindigd” was, waardoor de onderzoekers zonder vergoeding bleven.
Dit conflict benadrukt een groeiende wrijving tussen onafhankelijke beveiligingsonderzoekers en gedecentraliseerde protocollen over betalingen van bounties. Voor THORChain, een cross-chain liquiditeitsprotocol dat native asset-swaps tussen verschillende blockchains mogelijk maakt, is veiligheid van levensbelang. Het protocol is in het verleden al vaker doelwit geweest van exploits ter waarde van miljoenen dollars, waardoor elke onbehandelde kwetsbaarheid een groot risico vormt voor liquiditeitsverschaffers.
De beslissing van V12 om exploitcode te publiceren voor andere onbehandelde bugs vergroot de onmiddellijke dreiging van zero-day aanvallen. Als de startup dit doorzet, kunnen kwaadwillenden de publieke code gebruiken om liquiditeitspools leeg te trekken voordat de kernontwikkelaars fixes kunnen implementeren. Dit risico drukt al op het marktsentiment, waarbij handelaren de native token RUNE en aanverwante THOR-activa nauwlettend volgen op tekenen van kapitaalvlucht.
Historisch gezien ervaren brug- en cross-chain protocollen ernstige liquiditeitsafnames wanneer beveiligingsconflicten publiek worden. Liquiditeitsverschaffers trekken meestal eerst hun activa terug en stellen later vragen, om te voorkomen dat ze worden getroffen door een exploit.
Marktdeelnemers dienen de officiële ontwikkelaarskanalen van THORChain en de on-chain liquiditeitsstromen de komende 48 uur scherp in de gaten te houden. De belangrijkste indicator is de Total Value Locked (TVL) van THORChain. Elke plotselinge daling in de TVL zal aangeven dat liquiditeitsverschaffers actief risico vermijden voorafgaand aan de door V12 gedreigde onthullingsdeadline.
THORChain krijgt te maken met exploit onthullingen na stil patchconflict
THORChain repareerde een kritieke bug die V12 had gemeld zonder erkenning of betaling. V12 wil binnenkort exploitcode publiceren voor onbehandelde kwetsbaarheden.