Предполагаемый мультичейн-эксплойт THORChain и экстренная остановка 15 мая превратились в очередной инцидент безопасности DeFi и ещё одну проверку кросс-чейн доверия.
Меры экстренного контроля включали поочерёдные остановки отдельных сетей, Halt All Trading, Halt Signing, Halt Chain Global, Halt Churning, а также повторяющиеся глобальные обновления паузы нод.
Одно публичное оповещение описало вероятный эксплойт, затронувший Биктоин, Ethereum, BSC и Base, что привело к потерям более 10,7 млн $, пересмотренным с более ранней оценки в 7,4 млн $.
Другая оценка безопасности определила убыток около 10 млн $, включая 36,75 BTC и около 7 млн $ в сетях BNB Chain, Ethereum и Base.
Впоследствии масштаб охваченных сетей был расширен в оценке TRM Labs, которая сообщила, что злоумышленник вывел более 11 млн $ как минимум из девяти сетей. В их число вошли Avalanche, Dogecoin, Litecoin, Bitcoin Cash и XRP в дополнение к первоначально упомянутым четырём сетям. Цифры могут ещё измениться по мере сверки расчётов, однако имеющиеся данные указывают на мультичейн-инфраструктурный инцидент, затронувший несколько маршрутов нативных активов.
Таким образом, последствия остановки вышли за рамки THORChain. Кросс-чейн ликвидность призвана делать крипту более удобной, ликвидной и связанной. Однако та же архитектура, которая позволяет активам перемещаться между изолированными сетями, может также сократить окно реагирования при возникновении сбоев.
В данном случае обещание DeFi о бесшовной маршрутизации столкнулось с необходимостью экстренной остановки.
Остановка стала сигналом
Оперативное реагирование задокументировано в рамках экстренных процедур сети. Процедуры THORChain описывают остановки сети и отдельных цепочек как инструменты, которые операторы нод могут использовать при угрозе средствам пользователей.
Архитектура протокола опирается на наблюдение Bifrost, хранилища и подписание с пороговой подписью для перемещения нативных активов между сетями без их оборачивания.
Эти меры контроля могут защитить средства, прекратив дальнейшую активность. Они также демонстрируют, что кросс-чейн инфраструктура представляет собой стек наблюдателей, валидаторов, хранилищ, логики подписания, операций нод и экстренных процедур.
Когда этот стек проверяется на прочность, рынок задаётся вопросом: можно ли исправить единственную уязвимость и сможет ли система сохранить доверие, пока само реагирование нарушает маршрутизацию.
Полагаю, именно это различие вписывает инцидент с THORChain в более широкий контекст DeFi. От зрелой финансовой инфраструктуры ожидают безопасного сбоя, быстрых объяснений и восстановления доверия при наличии задокументированной первопричины.
DeFi нередко действует быстрее этого стандарта. Протоколы запускают интеграции, новые сети и маршруты ликвидности прежде, чем у пользователей и институтов появляется чёткий способ оценить полный операционный риск.
Компактная шкала доверия отражает текущее состояние дел:
| Сигнал | Что подтверждено | Что остаётся неразрешённым |
|---|---|---|
| Первоначальное оповещение безопасности | Вероятный эксплойт в сетях Биктоин, Ethereum, BSC и Base на сумму более 10,7 млн $. | Окончательный расчёт убытков и полный охват сетей. |
| Независимая оценка | Около 10 млн $, включая 36,75 BTC и примерно 7 млн $ в EVM-совместимых сетях. | Полностью ли сверены все затронутые активы и адреса. |
| Аналитический охват | Более 11 млн $ как минимум в девяти сетях. | Как расширенный охват соотносится с итоговым постмортемом THORChain. |
| Меры экстренного контроля | Были активированы меры контроля торговли, подписания, глобальной активности сети и churning. | Насколько быстро остановка ограничила ущерб и какая активность возобновилась после. |
| Подтверждение протокола | Сообщается, что одно из шести хранилищ Asgard было скомпрометировано примерно на 10,7 млн $; первоначальные данные указывали на то, что отдельные свопы не пострадали. | Окончательная первопричина, итоговый расчёт влияния на пользователей и детали постмортема. |
Дисконт доверия теперь поддаётся измерению
Ущерб от эксплойтов редко ограничивается опустошённым кошельком. По данным исследования безопасности Immunefi за 2026 год, средний прямой ущерб от кражи составил 25 млн $, тогда как медианный убыток снизился до 2,2 млн $.
Этот разрыв отражает рынок, где рутинная защита может совершенствоваться, однако крупнейшие инциденты по-прежнему определяют уровень доверия.
В том же отчёте говорится, что пять крупнейших взломов в 2024 и 2025 годах пришлись на 62% похищенных средств, а токены взломанных протоколов показали медианное снижение на 61% за шесть месяцев.
Динамику этих токенов нельзя однозначно отделить от рыночных условий или специфических слабостей конкретных проектов в каждом отдельном случае. Тем не менее закономерность подтверждает ключевую реакцию рынка: эксплойты превращаются в долгосрочные бизнес-события.
Они истощают капитал, поглощают время команды, замедляют интеграции и заставляют партнёров задумываться, не затронет ли их следующий сбой косвенным образом.
Дисконт доверия отражает дополнительный уровень скептицизма в отношении сектора, претендующего на статус финансовой инфраструктуры, но по-прежнему допускающего сбои, напоминающие учения по кризисному управлению.
Пользователи, биржи, маркет-мейкеры, кастодианы и институциональные участники требуют всё больше доказательств надёжности аптайма, мониторинга, управления ключами и экстренных процессов протокола.
Недавние кросс-чейн инциденты подкрепляют этот вывод. В случае эксплойта Кроссчейн-моста KelpDAO злоумышленники атаковали внецепочечную верификацию и инфраструктуру наблюдения за исходной сетью, а не обычную уязвимость смарт-контракта.
Результатом стало искажённое восприятие реальности, которое привело к тому, что транзакции с виду легитимного вида высвобождали средства. Опасения относительно безопасности мостов уже повлияли на инфраструктурные решения, в том числе на переход Kraken к использованию Chainlink CCIP для kBTC и будущих обёрнутых активов после потрясения, вызванного KelpDAO.
Это делает остановку THORChain менее изолированным событием. Отрасль вынуждена доказывать, что путь доверия между сетями поддаётся наблюдению, резервированию и управлению, прежде чем через него будут направлены миллиарды долларов ликвидности.
Для институциональных пользователей вопрос превращается в операционный due diligence. Кросс-чейн экспозиция затрагивает политику хранения активов, обязательства по ликвидности, реагирование на инциденты и проверку контрагентов.
Протокол, маршрутизирующий нативные активы между сетями, должен доказать, что мониторинг и экстренные процессы вокруг этой маршрутизации столь же надёжны, как и сама связность.
Для разработчиков это меняет представление о прогрессе. Новые маршруты и интеграции могут углублять ликвидность, но вместе с тем создают дополнительные поверхности для мониторинга, управления ключами и реагирования на инциденты.
Следующие достижения в области доверия будут обусловлены демонстрацией того, что меры контроля масштабируются вместе с ликвидностью — прежде чем сбой вынудит контрагентов пересмотреть свои допущения.
THORChain несёт и комплаенс-нагрузку
Положение THORChain особенно уязвимо, поскольку протокол сочетает в себе расширенную поверхность атаки с маршрутизирующей ролью в крупных эпизодах незаконного движения средств.
По данным отчёта TRM, по состоянию на текущий момент эксплойт 15 мая не имеет публично установленного исполнителя. Эта оговорка позволяет разграничить текущий инцидент и более ранние случаи отмывания денег — если только новые доказательства не изменят картину.
Тот же анализ охарактеризовал THORChain как регулярно используемый канал для перемещения похищенных средств, включая потоки, связанные с инцидентами Bybit и KelpDAO.
Это давление было очевидным после того, как связанные с Lazarus средства Bybit прошли через протокол, когда THORChain столкнулся с напряжённостью между разработчиками и валидаторами.
Федеральные следователи приписали кражу активов на Bybit в феврале 2025 года на сумму около 1,5 млрд $ в виртуальных активах северокорейской группировке TraderTraitor.
ФБР также призвало частные криптовалютные организации, включая сервисы DeFi и мосты, блокировать транзакции на адреса, связанные с отмыванием денег, или с них.
Этот контекст обостряет восприятие текущего инцидента. Протокол может быть полезен, поскольку делает нативные кросс-чейн свопы эффективными. Та же функциональность может делать его привлекательным для злоумышленников и трудным для игнорирования комплаенс-командами.
Как только протокол воспринимается одновременно как уязвимая инфраструктура и канал для незаконных средств, контрагенты вынуждены учитывать нечто большее, чем просто риск смарт-контракта.
Им приходится принимать во внимание операционные перебои, риски в сфере комплаенса и вероятность того, что интеграции превратятся в репутационные обязательства.
Реакция цены RUNE остаётся второстепенным вопросом. По данным рынка на 16 мая, RUNE торговался около 0,44 $, снизившись на 21,90% за 24 часа.
Общая капитализация крипторынка составляла около 2,61 трлн $, доминирование Биктоина — 60,2%. Рынок отреагировал на инцидент, однако более важный вопрос состоит в том, изменят ли своё поведение провайдеры ликвидности, маршрутизирующие интерфейсы, кошельковые интеграции и комплаенс-подразделения после остановки.
Значимый рыночный сигнал будет исходить из следующего набора операционных решений, а не из однодневного графика. Интерфейсы ликвидности могут обходить протоколы, вносящие неопределённость; кастодианы и маркет-мейкеры могут повышать внутренние оценки рисков.
Комплаенс-команды могут требовать улучшенных процедур проверки и записей об инцидентах, прежде чем поддерживать интеграции. Эти реакции медленнее, чем распродажа токенов, но именно так событие в сфере безопасности превращается в устойчивый дисконт доверия.
Именно это — более медленная переоценка, которую замечают институциональные участники. Она проявляется в вопросах при due diligence, очередях на интеграцию и лимитах риска спустя долгое время после того, как экстренная остановка покидает ленту оповещений.
Следующая проверка — постмортем
Следующая проверка начинается с большего, чем просто сообщение о восстановлении: THORChain необходимо подготовить чёткий постмортем, согласовать итоговую сумму потерь и количество затронутых сетей, объяснить первопричину без домыслов и показать, что изменилось в процессах работы с хранилищами, управления ключами, работы нод, мониторинга и остановки.
Детали восстановления могут помочь ограничить ущерб для пользователей, не затрагивая при этом инфраструктурный вопрос.
Если THORChain завершит компенсацию, безопасно возобновит работу и задокументирует убедительное исправление, инцидент может остаться серьёзным, но локализованным ударом по доверию.
Если первопричина останется невыясненной, окончательные расчёты продолжат меняться, а интеграции начнут сворачиваться, событие станет ещё одной точкой данных в более широкой переоценке кросс-чейн DeFi.
Вот в чём заключается последствие на уровне отрасли. DeFi стремится позиционировать себя как надёжная, всегда работающая финансовая инфраструктура.
Каждый крупный кросс-чейн эксплойт делает этот тезис всё труднее защищаемым — до тех пор, пока отрасль не сможет продемонстрировать, что мосты, хранилища, системы подписания и меры экстренного контроля, связывающие её рынки, столь же зрелы, как и капитал, который они стремятся привлечь.
Source: https://cryptoslate.com/thorchain-exploit-defi-halt-trust-test/
