Предполагаемый мультичейн-эксплойт в THORChain и экстренная остановка 15 мая обернулись очередным инцидентом безопасности в DeFi и очередным испытанием для доверия к кроссчейн-операциям.
Экстренные меры включали поэтапные остановки на уровне отдельных блокчейнов, полную остановку торгов (Halt All Trading), остановку подписания (Halt Signing), глобальную остановку цепи (Halt Chain Global), остановку процесса чередования (Halt Churning) и многократные обновления с глобальной паузой узлов.
Публичное оповещение описывало вероятный эксплойт, затронувший Биткоин, Эфириум, BSC и Base, в результате которого убытки составили более 10,7 млн долларов, что выше первоначальной оценки в 7,4 млн долларов.
Другая оценка безопасности оценивала потери почти в 10 миллионов долларов, включая 36,75 BTC и около 7 миллионов долларов в сетях BNB Chain, Ethereum и Base.
Масштаб затронутых сетей позже был расширен в анализе TRM Labs, в котором сообщалось, что злоумышленник вывел более 11 миллионов долларов как минимум в девяти сетях. Эти сети включали Avalanche, Dogecoin, Litecoin, Bitcoin Cash и XRP, в дополнение к первоначальным четырем. Цифры могут еще измениться по мере сверки данных, но имеющаяся информация указывает на инцидент в мультичейн-инфраструктуре, затронувший несколько маршрутов нативных активов.
Таким образом, остановка имела последствия за пределами THORChain. Кроссчейн-ликвидность призвана сделать криптовалюту более полезной, ликвидной и связанной. Однако та же архитектура, которая позволяет активам перемещаться между изолированными сетями, может также сжать окно реагирования, когда что-то выходит из строя.
В данном случае обещание бесшовной маршрутизации в DeFi столкнулось с необходимостью экстренной остановки.

Остановка стала сигналом
Оперативное реагирование задокументировано в рамках системы экстренного реагирования сети. Процедуры THORChain описывают остановки сети и цепей как инструменты, которые операторы узлов могут использовать при угрозе средствам.
Ее архитектура полагается на наблюдение Bifrost, хранилища (vaults) и пороговое подписание (threshold-signature signing) для перемещения нативных активов между сетями без их обертывания.
Эти механизмы контроля могут защитить средства, прекратив дальнейшую активность. Они также показывают, что кроссчейн-инфраструктура представляет собой стек наблюдателей, валидаторов, хранилищ, логики подписания, операций узлов и экстренных процедур.
Когда этот стек подвергается испытанию, рынок задается вопросом, можно ли исправить один баг и может ли система сохранить доверие, в то время как само реагирование нарушает маршрутизацию.
Я считаю, что это различие вводит инцидент с THORChain в более широкий контекст DeFi. От зрелой финансовой инфраструктуры ожидается безопасный сбой, быстрое объяснение и восстановление доверия с документированной первопричиной.
DeFi часто движется быстрее этого стандарта. Он внедряет интеграции, новые сети и маршруты ликвидности до того, как пользователи и учреждения получат четкое представление о полном операционном риске.
Сжатая лестница доверия отражает текущее состояние:
| Сигнал | Что подтверждено | Что остается нерешенным |
|---|---|---|
| Первоначальное оповещение о безопасности | Вероятный эксплойт в сетях Bitcoin, Ethereum, BSC и Base на сумму более 10,7 млн долларов. | Окончательный учет убытков и полный охват затронутых сетей. |
| Независимая оценка | Около 10 млн долларов, включая 36,75 BTC и примерно 7 млн долларов в сетях, связанных с EVM. | Были ли полностью учтены все затронутые активы и адреса. |
| Масштаб анализа | Более 11 млн долларов в как минимум девяти сетях. | Как более широкий охват соотносится с окончательным постмортемом THORChain. |
| Экстренные меры | Активированы механизмы контроля торговли, подписания, глобальной активности цепи и чередования. | Насколько быстро остановка сдержала ущерб и какая активность возобновилась после. |
| Подтверждение протокола | Одно из шести хранилищ Asgard было скомпрометировано на сумму около 10,7 млн долларов; первоначальные данные указывали, что отдельные свопы не пострадали. | Окончательная первопричина, окончательный учет ущерба пользователям и детали постмортема. |
Скидка на доверие теперь измерима
Ущерб от эксплойтов редко ограничивается опустошенным кошельком. Отчет Immunefi за 2026 год показал, что средний прямой ущерб от краж составляет 25 миллионов долларов, в то время как медианный убыток снизился до 2,2 миллиона долларов.
Этот разрыв демонстрирует рынок, где рутинная защита может улучшаться, но крупнейшие инциденты по-прежнему определяют уровень доверия.
Тот же отчет показал, что на пять крупнейших взломов в 2024 и 2025 годах пришлось 62% украденных средств, а взломанные токены продемонстрировали медианное снижение на 61% за шесть месяцев.
Эти движения токенов не всегда можно четко отделить от рыночных условий или специфической слабости проекта. Тем не менее, эта закономерность подтверждает основную реакцию рынка: эксплойты становятся долгосрочными бизнес-событиями.
Они истощают капитал, отнимают время у команд, замедляют интеграции и заставляют партнеров сомневаться, не затронет ли их косвенно следующий сбой.
Скидка на доверие отражает дополнительный уровень скептицизма по отношению к сектору, который хочет, чтобы его рассматривали как финансовую инфраструктуру, но при этом продолжает демонстрировать сбои, похожие на учения по кризисному реагированию.
Пользователи, биржи, маркет-мейкеры, кастодианы и учреждения требуют больше доказательств, чтобы доверять времени безотказной работы протокола, мониторингу, управлению ключами и экстренным процедурам.
Недавние кроссчейн-инциденты подтверждают это. В случае эксплойта моста KelpDAO злоумышленники атаковали инфраструктуру внецепочечной верификации и мониторинга исходной цепи, а не обычный баг смарт-контракта.
Результатом стало ложное представление о реальности, которое привело к выпуску средств по транзакциям, выглядевшим легитимными. Опасения по поводу безопасности мостов уже повлияли на инфраструктурные решения, включая переход Kraken на использование Chainlink CCIP для kBTC и будущих обернутых активов после шока от KelpDAO.
Это делает остановку THORChain менее изолированной. Сектор вынужден доказывать, что путь доверия между сетями является наблюдаемым, избыточным и контролируемым, прежде чем через него будут направлены миллиарды долларов ликвидности.
Для институциональных пользователей проблема заключается в операционной должной осмотрительности. Кроссчейн-риски затрагивают политику хранения, обязательства по ликвидности, реагирование на инциденты и обзоры контрагентов.
Протокол, который маршрутизирует нативные активы между сетями, должен доказать, что мониторинг и экстренные процедуры, связанные с этой маршрутизацией, так же надежны, как и сама связность.
Для разработчиков это меняет представление о прогрессе. Новые маршруты и интеграции могут углубить ликвидность, но они также создают больше поверхностей для мониторинга, управления ключами и реагирования на инциденты.
Следующий прирост доверия будет достигнут за счет демонстрации того, что механизмы контроля масштабируются вместе с ликвидностью до того, как сбой заставит контрагентов пересмотреть свои предположения.

THORChain несет и слой комплаенса
Позиция THORChain особенно чувствительна, поскольку протокол сочетает в себе поверхность атаки и роль маршрутизатора в крупных эпизодах незаконного трафика.
По данным отчета TRM, эксплойт от 15 мая не имеет публичной атрибуции актора. Эта оговорка отделяет текущий инцидент от предыдущих случаев отмывания денег, если новые доказательства не изменят картину.
Тот же анализ описывал THORChain как повторяющийся канал для перемещения украденных средств, включая потоки, связанные с инцидентами Bybit и KelpDAO.
Это давление было очевидно после того, как средства Bybit, связанные с Lazarus, прошли через протокол, когда THORChain столкнулся с напряженностью между разработчиками и валидаторами.
Федеральные следователи приписали кражу около 1,5 миллиарда долларов в виртуальных активах с Bybit в феврале 2025 года деятельности северокорейской группы TraderTraitor.
ФБР также призвало частные криптокомпании, включая сервисы DeFi и мосты, блокировать транзакции на адреса, связанные с отмыванием, или с них.
Эта история обостряет текущий эпизод. Протокол может быть полезен, поскольку он обеспечивает эффективные нативные кроссчейн-свопы. Та же самая полезность может сделать его привлекательным для злоумышленников и сложным для игнорирования командами комплаенса.
Как только протокол начинает рассматриваться и как уязвимая инфраструктура, и как канал для незаконных средств, контрагентам приходится учитывать не только риск смарт-контрактов.
Им приходится учитывать операционные прерывания, подверженность скринингу и вероятность того, что интеграции станут репутационными обязательствами.
Реакция цены RUNE остается вторичной. Рыночные данные на 16 мая показывали RUNE на уровне около 0,44 доллара, что на 21,90% ниже за 24 часа.
Общий крипторынок находился около 2,61 трлн долларов, при доминировании Биткоина на уровне 60,2%. Рынок заметил инцидент, но более важный вопрос заключается в том, изменят ли поставщики ликвидности, интерфейсы маршрутизации, интеграции кошельков и отделы комплаенса свое поведение после остановки.
Важный рыночный сигнал будет исходить от следующего набора операционных решений, а не от однодневного графика. Интерфейсы ликвидности могут обходить протоколы, которые создают неопределенность; кастодианы и маркет-мейкеры могут повысить внутренние оценки рисков.
Команды комплаенса могут потребовать лучшего скрининга и записей об инцидентах, прежде чем поддерживать интеграции. Эти реакции медленнее, чем распродажа токенов, но именно они превращают инцидент безопасности в устойчивую скидку на доверие.
Это более медленное переоценивание, которое замечают учреждения. Оно проявляется в вопросах должной осмотрительности, очередях на интеграцию и лимитах риска задолго до того, как экстренная остановка исчезнет из ленты оповещений.
Следующее испытание — постмортем
Следующее испытание начинается не просто с сообщения о восстановлении: THORChain должен предоставить четкий постмортем, согласовать окончательную цифру убытков и количество затронутых сетей, объяснить первопричину без спекуляций и показать, что изменилось в его хранилищах, управлении ключами, узлах, мониторинге и процедурах остановки.
Детали восстановления могут помочь ограничить ущерб пользователям, оставив вопрос об инфраструктуре без ответа.
Если THORChain завершит компенсацию, безопасно возобновит работу и задокументирует надежное исправление, инцидент может остаться серьезным, но ограниченным ударом по доверию.
Если первопричина останется невыясненной, окончательный учет будет продолжать меняться, или интеграции будут отозваны, событие станет еще одной точкой данных в более широком переоценивании кроссчейн DeFi.
Это последствие на уровне сектора. DeFi хочет представить себя как устойчивую, постоянно работающую финансовую инфраструктуру.
Каждый крупный кроссчейн-эксплойт затрудняет защиту этого утверждения до тех пор, пока отрасль не сможет показать, что мосты, хранилища, системы подписания и экстренные механизмы, соединяющие ее рынки, так же зрелы, как и капитал, который они стремятся привлечь.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Liam 'Akiba' Wright




