THORChain stoi w obliczu poważnego kryzysu bezpieczeństwa po tym, jak startup zajmujący się automatycznym audytem kodu, V12, zagroził publicznym ujawnieniem kodu wykorzystującego kilka niezałatanych podatności. Ultimatum pojawiło się w następstwie gorzkiego sporu dotyczącego wcześniej zgłoszonej krytycznej luki, którą – według V12 – THORChain naprawił po cichu, nie przyznając ani uznania, ani rekompensaty finansowej.
Według V12 startup w dobrej wierze ujawnił zespółowi bezpieczeństwa THORChain podatność o wysokim stopniu zagrożenia. Zamiast jednak obsługiwać zgłoszenie za pomocą standardowego programu bounty, THORChain rzekomo wprowadził cichą poprawkę, która zamknęła lukę. Gdy V12 zażądał nagrody, zespół protokołu miał poinformować, że program nagród został „trwale zamknięty”, przez co badacze pozostali bez zapłaty.
Ten spór podkreśla narastające napięcia pomiędzy niezależnymi badaczami bezpieczeństwa a zdecentralizowanymi protokołami w kwestii wypłat za znalezione błędy. Dla THORChain, protokołu cross-chain umożliwiającego wymianę własnych aktywów na różnych blockchainach, kwestia bezpieczeństwa ma znaczenie egzystencjalne. Protokół ten był w przeszłości celem ataków wartej miliony dolarów, co powoduje, że każda niezałatana luka stanowi ogromne ryzyko dla dostawców płynności.
Decyzja V12 o publikacji kodu exploit dla innych niezałatanych błędów oznacza bezpośrednie zagrożenie atakami zero-day. Jeśli startup zrealizuje swoje groźby, złośliwe podmioty mogą wykorzystać publiczny kod do szybkiego opróżniania puli płynności, zanim główni deweloperzy zdążą wdrożyć poprawki. Ryzyko to już teraz obciąża nastroje na rynku, a traderzy bacznie obserwują natywny token protokołu, RUNE, oraz powiązane aktywa THOR, wyczekując oznak odpływu kapitału.
Historycznie protokoły mostów i cross-chain doświadczają gwałtownego kurczenia płynności, gdy spory dotyczące bezpieczeństwa wychodzą na jaw. Dostawcy płynności w takich sytuacjach zwykle wycofują aktywa jako pierwsi, by uniknąć strat w razie potencjalnych exploitów.
Uczestnicy rynku powinni uważnie śledzić oficjalne kanały deweloperskie THORChain oraz przepływy płynności on-chain przez najbliższe 48 godzin. Kluczowym wskaźnikiem jest łączna wartość zablokowana (TVL). Każdy nagły spadek TVL będzie wskazuje, że dostawcy płynności aktywnie zmniejszają ekspozycję przed zapowiedzianym terminem ujawnienia V12.
THORChain pod presją po sporze z V12 o ciche łatanie krytycznej luki
THORChain naprawił poważną lukę ujawnioną przez V12 bez uznania ich zasług i wypłaty. V12 zapowiada wkrótce publikację kodu do ataków na niezałatane podatności.