أصدرت THORChain بيانًا على منصة X في 16 مايو، تطلب فيه من المستخدمين تجاهل المعلومات المتعلقة بقيامها ببرنامج استرداد بعد عملية الاستغلال التي أدت إلى استنزاف حوالي 10 ملايين دولار من الأصول المشفرة.
في نفس اليوم الذي قامت فيه THORChain بتوضيح الأمور بشأن المعلومات المضللة المنتشرة، نشرت شركة Chainalysis لتحليلات البلوك تشين أدلة على البلوك تشين تربط المهاجمين بمحافظ تم تمويلها قبل أسابيع من تنفيذ عملية السرقة.
كتبت شركة THORChain: "لقد أصبحنا على علم بوجود العديد من الحسابات المزيفة والمعلومات الكاذبة المتداولة فيما يتعلق بـ "عمليات الاسترداد" و "عمليات الإنزال الجوي" ومطالبات التعويض وغيرها من المبادرات المزعومة".
أعلنت منصة التداول اللامركزية المتخصصة Bitcoin، استنادًا إلى نتائجها الأولية، أنه لم يتم فقدان أي أموال للمستخدمين نتيجةً للثغرة الأمنية. كما أكدت أنها لا تُجري حاليًا أي برامج لاسترداد الأموال أو توزيعها مجانًا أو تقديم تعويضات.
ودعت المستخدمين إلى تجاهل أي حساب يدعي خلاف ذلك أو ينتحل شخصية THORChain.
عملية استغلال بقيمة 10 ملايين دولار هزت شركة ثور تشين
قدّرت شركة الأمن السيبراني "بيك شيلد" قيمة الأموال المسروقة من "ثور تشين" بنحو 10 ملايين دولار، تشمل 36.75 بيتكوين (حوالي 3 ملايين دولار) ونحو 7 ملايين دولار من أصول Ethereum، BNB تشين"، و"بيس". ووفقًا لتقرير سابق لـ Cryptopolitan"، نُقلت Bitcoin إلى محفظة واحدة، بينما استقرت أكثر من 3156 إيثيريوم في عنوان منفصل trac"أركام إنتليجنس".
في 15 مايو، صرحت THORChain بأن "الأدلة الحالية تشير إلى عقدة تم تشغيلها حديثًا مرتبطة بالهجوم، ومن المحتمل أن يتم تشغيلها بواسطة جهة خبيثة واحدة".
وذكرت أنها لا تزال تحقق في الثغرة الأمنية، لكنها أضافت أن نظريتها الرئيسية لما تسبب في ذلك هي ثغرة أمنية في تطبيق GG20 TSS، مما يسمح بتسرب مواد مفتاح الخزنة بمرور الوقت
تم إيقاف الشبكة مؤقتًا حاليًا بعد أن نفذ العديد من مشغلي العقد أمر "make pause"، لكنها ذكرت أنها تعمل حاليًا على خطة إعادة التشغيل.
حتى الآن، لم تلتزم المنصة بخطة للتعافي؛ ومع ذلك، فقد ذكرت أن جميع قرارات التعافي ستتطلب على الأرجح قرارات إدارة العقدة بشأن كيفية التعامل مع الخسائر.
لـ THORChain، سعر العملة الأصلية انخفض
تربط تقنية Chainalysis المهاجم بمحافظ إلكترونية مُعدة مسبقًا
نشرت شركة Chainalysis سلسلة مقالات من خمسة أجزاء على منصة X في 16 مايو، تُفصّل أسابيع من الأنشطة التحضيرية على سلسلة الكتل التي قامت بها محافظ مرتبطة بالمهاجم. وأوضحت الشركة أن المحافظ المرتبطة بالمهاجم قامت بتحويل الأموال عبر منصات Monero وHyperliquid وTHORChain نفسها قبل تنفيذ عملية السرقة.
في أواخر أبريل، قامت إحدى هذه المحافظ بإيداع عملة XMR من خلال جسر خصوصية Hyperliquid-Monero، وقامت بتبادل المركز الناتج مقابل USDC، وسحبته إلى Arbitrum، ثم ربطته بـ Ethereum، وفقًا لما ذكرته Chainalysis.
ثم تم تقسيم الإيثيريوم المحوّل إلى أربعة فروع. واتصل أحد هذه الفروع مباشرة بمحفظة المهاجم المستلمة: حيث قام وسيط بتحويل 8 إيثيريوم إليها قبل 43 دقيقة فقط من وصول الأموال المسروقة، وفقًا لتحليل الشركة.
أفاد مساهمو مشروع THORChain في تحديث على منصة Discord أن الأدلة الحالية تشير إلى وجود عقدة جديدة مرتبطة بالهجوم، يُرجح أن يديرها جهة خبيثة واحدة. وتدور النظرية السائدة حول ثغرة أمنية في نظام التوقيع GG20، وفقًا لتحديثdent المنشور على منصة X.
تُضاف هذه الثغرة الأمنية إلى سلسلة منdentأمن التمويل DeFi في مايو 2026. وقد سبق Cryptopolitan أن أبلغت عن ثغرات أمنية في Transit Finance (بخسائر تُقدر بحوالي 1.88 مليون دولار) بالإضافة إلى تلك التي حدثت في Huma Finance (بخسائر تُقدر بحوالي 101,400 دولار) و Ink Finance (بخسائر تُقدر بحوالي 140,000 دولار) في وقت سابق من الشهر، وكلاهما يستهدفtracالذكية على Polygon.