Протокол THORChain опинився в центрі серйозної кризи безпеки після того, як стартап V12, що займається автоматизованим аудитом коду, пригрозив публічно оприлюднити експлойти для кількох невиправлених вразливостей. Цей ультиматум став наслідком гострого конфлікту навколо раніше виявленого критичного багу, який, за заявою V12, розробники THORChain таємно виправили, відмовившись виплатити винагороду або згадати дослідників у звітах.
Представники V12 стверджують, що виявили вразливість високого рівня небезпеки та передали всі дані команді THORChain, розраховуючи на стандартну процедуру bug bounty. Проте замість офіційного оформлення звіту та виплати винагороди, розробники протоколу тихо випустили патч. Коли ж аудитори звернулися за виплатою, їм повідомили, що програму винагород «назавжди закрито», залишивши фахівців без компенсації.
Цей інцидент підкреслює зростання напруги між незалежними дослідниками безпеки та децентралізованими проєктами щодо виплат за знайдені баги. Для THORChain, який забезпечує прямий обмін активами між різними блокчейнами без використання обгорнутих токенів, питання безпеки є критично важливим. Протокол уже неодноразово ставав ціллю масштабних хакерських атак, тому будь-яка невиправлена помилка несе величезні ризики для постачальників ліквідності.
Намір V12 опублікувати робочі експлойти для інших невиправлених багів створює реальну загрозу атак нульового дня. Якщо код потрапить у відкритий доступ, зловмисники зможуть використати його для спустошення пулів ліквідності ще до того, як розробники встигнуть зреагувати. Цей ризик уже тисне на ринкові настрої, змушуючи трейдерів уважно стежити за динамікою нативного токена RUNE та пов'язаних активів THORChain.
Історично склалося, що крос-чейн мости та протоколи ліквідності зазнають швидкого відтоку капіталу, коли суперечки щодо безпеки виходять у публічну площину. Постачальники ліквідності зазвичай воліють вивести активи заздалегідь, щоб мінімізувати ризики втрати коштів у разі можливої атаки.
Учасникам ринку варто уважно стежити за офіційними каналами розробників THORChain та ончейн-потоками капіталу протягом найближчих 48 годин. Головним показником для аналізу є загальна заблокована вартість (TVL) протоколу. Будь-яке різке зниження TVL вказуватиме на те, що великі гравці активно виводять кошти, намагаючись убезпечити себе від можливих наслідків публікації експлойтів.
V12 розкриє вразливості THORChain через невиплату винагороди
THORChain усунула критичну помилку, яку виявив V12, без відшкодування чи визнання. V12 планує оприлюднити код атаки на невирішені вразливості найближчими днями.