Uma startup de segurança afirma ter revelado uma vulnerabilidade de drenagem de fundos para o protocolo cross-chain semanas antes de uma exploração de US$ 10,7 milhões atingir uma falha quase idêntica. Agora planeja publicar código de exploração para mais informações.
Uma startup de segurança disse que pretende divulgar publicamente o código de exploração para vulnerabilidades não corrigidas do THORChain nos próximos dias, depois que o protocolo cross-chain corrigiu um bug crítico anterior que a empresa havia divulgado sem creditá-lo ou pagar.
V12, uma startup que cria uma ferramenta automatizada de auditoria de código e publicou recentemente explorações do kernel Linux, disse em um post no X que relatou um bug de “perda crítica de fundos” para o THORChain, que o protocolo “corrigiu silenciosamente” e que um representante do THORChain disse à empresa que seu programa de recompensas de bugs foi permanentemente desativado.
V12 disse que está mantendo vulnerabilidades adicionais de negação de serviço de “parada de cadeia” do THORChain que planeja divulgar abertamente e publicou um repositório de código de prova de conceito.
Um porta-voz da THORChain disse que o programa de recompensas foi encerrado antes do envio do V12 em 28 de abril.
“Isso está documentado publicamente em https://gitlab.com/thorchain/thornode/-/blob/develop/bugbounty.md O programa foi retirado devido a um grande volume de envios gerados por IA, e não em resposta a qualquer pesquisador ou disputa específica”, disse o porta-voz.
Bug de falsificação de proponente
A divulgação chega cerca de três semanas depois que THORChain, um protocolo de liquidez cross-chain com cerca de US$ 30 milhões em valor total bloqueado, perdeu cerca de US$ 10,7 milhões de um de seus seis cofres Asgard em 15 de maio. Pesquisadores de segurança, incluindo Blockaid e o investigador onchain ZachXBT, atribuíram essa exploração a um bug de falsificação de proponente no sistema de atestado Bifrost da THORChain – a mesma classe de falha que um código THORChain cometeu datado de 6 de maio. foi escrito para consertar.
Um porta-voz do THORChain disse: “o bug relatado pelo V12 não está relacionado à exploração de 15 de maio”.
Esse patch, intitulado “assinar o wrapper ObservedTx completo para evitar a falsificação do proponente”, nunca foi implantado; pesquisadores disseram que ele falhou no teste automatizado e no processo de implementação do protocolo antes do ataque. RUNE caiu até 15% no dia da exploração e agora é negociado perto de US$ 0,49, uma queda de cerca de 87% em relação ao ano passado, de acordo com dados da DefiLlama e CoinGecko.
THORChain foi hackeado repetidamente desde 2021 e processou a maior parte da lavagem no hack de US$ 1,4 bilhão da Bybit.
O que V12 diz que encontrou
A V12 disse que abordou a THORChain em 28 de abril para “divulgar com responsabilidade” o que chamou de provável vulnerabilidade crítica, compartilhando um arquivo de patch, um script de prova de conceito e um relatório, de acordo com capturas de tela de mensagens publicadas pela empresa.
Nessas mensagens, V12 descreveu uma falha na qual um único validador malicioso agindo como proponente do bloco CometBFT pode “ignorar todos os requisitos de confirmação” forjando dados de finalidade não assinados em transações atestadas honestamente, fazendo com que o THORChain libere fundos de saída antes que um depósito de origem seja confirmado. A empresa disse que o problema afetou todas as cadeias externas integradas ao THORChain e pode ser explorado por qualquer validador ativo durante sua rotação normal de proponentes.
Quando a V12 fez o acompanhamento sobre um pagamento, um contato da THORChain respondeu que “não estava ciente de nenhuma recompensa de bug em execução no momento pela THORChain” e disse que a equipe havia interrompido o programa “há muito tempo”, de acordo com as capturas de tela. V12 então perguntou se não havia pagamento mesmo para bugs críticos.
A identidade do contato foi ocultada nas imagens. A conta do V12 baseia-se em mensagens que ele próprio publicou, apresentando um lado da troca; THORChain não confirmou sua autenticidade ou a existência do bug divulgado.
Um patch que nunca foi enviado
Os desenvolvedores do THORChain criaram uma correção para um bug de falsificação de proponente em 6 de maio, nove dias antes da exploração de 15 de maio, de acordo com o histórico de commits do THORNode. A análise do ataque da Blockaid descobriu que as assinaturas do validador não cobriam o campo de entrada ou saída de uma transação, permitindo que um proponente transformasse uma observação de entrada real em um pagamento de saída para endereços controlados pelo invasor. Os pesquisadores disseram que o patch de 6 de maio abordou exatamente esse comportamento, mas falhou no processo de integração contínua do protocolo e não foi lançado aos validadores a tempo.
O bug V12, divulgado em 28 de abril, é descrito em termos quase idênticos ao patch e à falha que os pesquisadores culparam pela exploração.
THORChain não publicou uma autópsia completa ou confirmou que o bug divulgado e o bug explorado são os mesmos, e a V12 não afirmou explicitamente em sua postagem que o invasor de 15 de maio usou suas descobertas. Blockaid e ZachXBT disseram acreditar que o atacante de 15 de maio é o mesmo ator por trás do ataque Fusion V1 de 1 polegada de março de 2025.
As defesas automatizadas do THORChain continham o incidente de 15 de maio: os operadores de nós desencadearam uma parada em toda a rede, congelando a negociação, a assinatura e a rotatividade do validador por cerca de 13 horas, e a equipe disse que nenhuma troca de usuário individual foi afetada. O protocolo divulgou a perda via Discord e X, conforme abordado no relatório do The Defiant sobre o comprometimento do cofre de Asgard.
A ligação entre o relatório do V12 e a exploração de 15 de maio, embora consistente na descrição da empresa, no commit do patch e na análise forense de terceiros, não foi confirmada pelo THORChain ou declarada abertamente pelo V12.
Um programa de recompensas em retiro
THORChain lançou uma recompensa por bug de US$ 500.000 no Immunefi em 2021, após uma série de explorações. Mais tarde, deixou essa plataforma em meio a polêmica, mudando para um programa auto-hospedado que os pesquisadores dizem ter sido retirado em março de 2026, dois meses antes da exploração de maio. Em novembro de 2024, o pesquisador Luke Parker acusou publicamente o protocolo de retirar seu programa Immunefi depois que a plataforma decidiu que ele devia cerca de US$ 270.000 por um envio crítico.
A própria documentação do THORChain ainda faz referência a uma recompensa por bugs críticos verificados em seus procedimentos de emergência e páginas de segurança, linguagem que agora está em desacordo com a conta da empresa e a aparente mudança do protocolo em relação à divulgação paga.
A divulgação aberta de código de exploração funcional contra um protocolo ativo que ainda mantém a liquidez do usuário também atrai críticas nos círculos de segurança, independentemente de uma disputa de recompensas, porque pode armar os invasores antes que as soluções sejam enviadas. A V12 reconheceu em sua postagem que espera que problemas mais críticos permaneçam na base de código, dizendo que a qualidade do código “honestamente não é ótima” em sua opinião.
O que vem a seguir
V12 disse que iria liberar vulnerabilidades adicionais de negação de serviço do THORChain nos próximos dias. THORChain não emitiu uma autópsia sobre a exploração de 15 de maio nem respondeu publicamente às reivindicações do V12. A Defiant solicitou comentários de THORChain e V12.
ATUALIZAÇÃO: Este artigo foi atualizado na segunda-feira, 1º de junho às 18h15 ET para adicionar comentários do THORChain.
Fontesthedefiant
