פרוטוקול THORChain נפרץ: 10 מיליון דולר נגנבו, חוקר אבטחה מדווח

פרוטוקול THORChain, המספק נזילות בין רשתות בלוקצ'יין שונות, דווח כנפרץ בהיקף של 10 מיליון דולר במטבעות קריפטוגרפיים. כך מסר חוקר האבטחה המוכר ZachXBT בערוץ הטלגרם שלו, תוך ציון כי תנועות הכספים מעידות על ניצול פרצה אפשרי בפרוטוקול.

בעקבות הדיווח, THORChain השעה את פעילות המסחר שלה. נכון לכתיבת שורות אלו, חשבונות הרשת והחשבון האישי של מייסד החברה, John-Paul Thorbjornsen, טרם הגיבו לפרשה. ZachXBT פרסם שלוש כתובות גניבה כחלק מממצאיו:

• bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37
• 0x82fc0d5150f3548027e971ec04c065f3c93154eb
• 0xd477b69551f49c0519f9b18c55030676138890bd

במקביל, ZachXBT פרסם צילום מסך מתוך שרת ה-Discord של המפתחים של THORChain, בו נראה דיון סוער בעקבות הפריצה.

עדכון ההיקף: מ-7 מיליון ל-10 מיליון דולר

בתחילה דווח על גניבת כ-7 מיליון דולר, אך בהמשך עודכן הסכום ל-10 מיליון דולר. אף על פי ש-ZachXBT הגדיר זאת כ"פרצה אפשרית", מספר חברות אבטחה בתחום אישרו את הפריצה. חברת PeckShieldAlert מסרה כי התוקף הצליח לגנוב כ-3 מיליון דולר במטבעות ביטקוין וכ-7 מיליון דולר במטבעות קריפטוגרפיים נוספים מרשתות BNBChain, Ethereum ו-Base.

חוקר עצמאי נוסף בשם "tanuki42" טען כי כספי הגז של התוקף סופקו באמצעות פרוטוקול הגישור Wagyu xyz.

גורמים לפריצה עדיין לא ברורים

נכון להיום, הסיבות המדויקות לפריצה אינן ידועות. עם זאת, פרשה זו מתווספת לרשימה ארוכה של אירועים בהם מעורב THORChain וקשריו עם צפון קוריאה.

קשרים חשודים לצפון קוריאה

בתחילת השבוע, חוקר הקריפטו המכונה "meow mfer" טען כי THORSwap שכרה עובד IT חשוד מצפון קוריאה. THORSwap מתואר על ידי THORChain כ"מחליפת החלפות רב-רשתית מובילה ומנשק הדגל לכל תכונות THORChain".

לטענתו של "meow mfer", אותו עובד ביצע לפחות שלושה Pull Requests מאושרים במאגר הרשמי swapkit/SwapKit — ה-SDK המרכזי המניע את תשתית ההחלפות הרב-רשתיות של THORSwap. עוד נטען כי אותו עובד פיתח קוד לשילוב ארנקים עבור THORSwap, וכן יצר "כלי חילוץ MEV" ותוכנות הסוואה המשמשות את צפון קוריאה.

בשנה שעברה, THORSwap הציעה פרס כספי לאחר שארנקו האישי של מייסד THORChain, Thorbjornsen, נפרץ וגונבו ממנו מטבעות בשווי 1.2 מיליון דולר. ZachXBT אף ייחס את הפריצה לצפון קוריאה וציין כי "JP הוא אחד האנשים שצברו רווחים משמעותיים מלבנת כספים מפרצות שמקורן בצפון קוריאה".

"הכתובת שייכת ככל הנראה ל-@jpthor, שארנקו הפרטי נפרץ לאחרונה באמצעות הונאת פגישות מזויפות. JP הוא אחד מהאנשים שצברו רווחים ניכרים מלבנת כספים מפרצות שמקורן בצפון קוריאה. אז זהו קצת אירוני שהוא עצמו נפגע כאן על ידי צפון קוריאה."
— ZachXBT

אכן, כספים שנגנבו מצפון קוריאה מועברים לעיתים קרובות באמצעות THORChain ושירותים קשורים של מייסדיו, תוך יצירת רווחים משמעותיים לפרוטוקול.