THORChain оказался в центре серьёзного кризиса безопасности после того, как стартап по автоматическому аудиту кода V12 пригрозил публичным выпуском эксплойт-кода для нескольких незащищённых уязвимостей. Этот ультиматум последовал за ожесточённым спором вокруг ранее раскрытой критической ошибки, которую, по утверждению V12, THORChain тихо исправил, не предоставив ни признания, ни денежной компенсации.
По данным V12, стартап добросовестно сообщил команде безопасности THORChain о серьёзной уязвимости высокой степени риска. Вместо того чтобы оформить отчёт через стандартные программы bug bounty, THORChain якобы незаметно выпустил патч для исправления проблемы. Когда V12 запросил вознаграждение, команда протокола сообщила, что программа наград была «окончательно закрыта», оставив исследователей без выплат.
Этот конфликт подчёркивает растущую напряжённость между независимыми специалистами по безопасности и децентрализованными проектами относительно выплат за обнаруженные ошибки. Для THORChain, являющегося кроссчейн-протоколом ликвидности, который позволяет обменивать базовые активы между разными блокчейнами, безопасность имеет ключевое значение. Ранее протокол уже становился объектом многомиллионных атак, и любая оставшаяся уязвимость представляет собой серьёзный риск для поставщиков ликвидности.
Решение V12 опубликовать эксплойт-код по другим незащищённым багам непосредственно повышает риск атак нулевого дня. Если стартап реализует угрозу, злоумышленники могут использовать открытый код для быстрого вывода ликвидности до того, как разработчики выпустят исправления. Это уже отражается на настроениях рынка: трейдеры внимательно следят за нативным токеном протокола RUNE и связанными активами THOR, ожидая признаков оттока капитала.
Исторически мосты и кроссчейн-протоколы испытывают сильное сокращение ликвидности, когда конфликты по безопасности выходят в публичную плоскость. Поставщики ликвидности в таких случаях первыми выводят средства, чтобы не попасть под удар при потенциальной атаке.
Участникам рынка рекомендуется внимательно следить за официальными каналами разработчиков THORChain и потоками ликвидности на протоколе в ближайшие 48 часов. Ключевой показатель – это Total Value Locked (TVL) THORChain. Любое резкое снижение TVL будет свидетельствовать о том, что поставщики ликвидности начали снижать риски в ожидании раскрытий V12.
THORChain сталкивается с раскрытиями уязвимостей после спора о молчаливом патче
THORChain исправил критическую уязвимость, раскрытую V12, без вознаграждения или упоминания. V12 собирается вскоре опубликовать эксплойт для незащищённых багов.