THORChain unterbindet Recovery-Betrug, während Chainalysis die Wallets der Angreifer in einem Exploit im Wert von 10 Millionen US-Dollar trac

THORChain hat am 16. Mai eine Erklärung auf X veröffentlicht, in der die Nutzer aufgefordert werden, Informationen über ein Wiederherstellungsprogramm nach dem Exploit, bei dem Krypto-Vermögenswerte im Wert von rund 10 Millionen Dollar verloren gingen, zu ignorieren.

Am selben Tag, an dem THORChain die kursierenden Fehlinformationen richtigstellt, veröffentlichte das Blockchain-Analyseunternehmen Chainalysis On-Chain-Beweise, die die Angreifer mit Wallets in Verbindung bringen, die Wochen vor dem Diebstahl finanziert wurden.

THORChain schrieb: „Wir sind auf mehrere gefälschte Konten und falsche Informationen aufmerksam geworden, die im Zusammenhang mit ‚Rückerstattungen‘, ‚Airdrops‘, Entschädigungsansprüchen und anderen angeblichen Initiativen kursieren.“

Die Bitcoinspezialisierte dezentrale Börse gab bekannt, dass nach ersten Erkenntnissen keine Kundengelder durch den Sicherheitsvorfall verloren gegangen seien. Sie teilte außerdem mit, dass derzeit keine Rückerstattungs-, Airdrop- oder Entschädigungsprogramme durchgeführt würden.

Es rief die Nutzer dazu auf, alle Accounts zu ignorieren, die etwas anderes behaupten oder sich als THORChain ausgeben.  

Der 10-Millionen-Dollar-Exploit, der ThorChain erschütterte

Das Sicherheitsunternehmen PeckShield schätzte den Schaden, der von ThorChain gestohlen wurde, auf rund 10 Millionen US-Dollar. Darin enthalten sind 36,75 BTC (etwa 3 Millionen US-Dollar) und Vermögenswerte im Wert von ca. 7 Millionen US-Dollar von Ethereum, BNB Chain und Base. Die Bitcoin wurden in eine einzige Wallet transferiert, während mehr als 3.156 ETH auf einer separaten Adresse landeten, die von Arkham Intelligence tracwurde, wie Cryptopolitanbereits berichtete.

Am 15. Mai erklärte THORChain : „Die aktuellen Erkenntnisse deuten auf einen neu eingerichteten Knoten hin, der mit dem Angriff in Verbindung steht und wahrscheinlich von einem einzelnen böswilligen Akteur betrieben wird.“

Es hieß, man untersuche die Sicherheitslücke noch, fügte aber hinzu, dass die führende Theorie für die Ursache eine Schwachstelle in der GG20 TSS-Implementierung sei, die es ermögliche, dass Tresorschlüsselmaterial „mit der Zeit durchsickert“

Das Netzwerk ist derzeit pausiert, nachdem mehrere Knotenbetreiber den Befehl „make pause“ ausgeführt haben. Es wurde jedoch mitgeteilt, dass derzeit an einem Neustartplan gearbeitet wird.

Bislang hat sich die Plattform noch nicht auf einen Wiederherstellungsplan festgelegt; sie erklärte jedoch, dass alle Wiederherstellungsentscheidungen wahrscheinlich Entscheidungen der Knotengovernance hinsichtlich des Umgangs mit Verlusten erfordern werden.

von THORChain, Der native Token ist seitdem um über 21 % gefallen und notiert am 16. Mai bei etwa 0,42 US-Dollar.

Chainalysis bringt Angreifer mit vorbereiteten Wallets in Verbindung

Chainalysis veröffentlichte am 16. Mai einen fünfteiligen Thread auf X, in dem die wochenlangen vorbereitenden On-Chain-Aktivitäten von Wallets detailliert beschrieben wurden, die mit dem Angreifer in Verbindung standen. Laut Chainalysis transferierten die mit dem Angreifer verknüpften Wallets Gelder über Monero, Hyperliquid und THORChain selbst, bevor sie den Diebstahl durchführten.

Ende April zahlte eine solche Wallet XMR über eine Hyperliquid-Monero Privacy Bridge ein, tauschte die daraus resultierende Position gegen USDC, hob das Geld bei Arbitrum ab und übertrug es auf Ethereum, wie Chainalysis mitteilte.

Die überwiesenen ETH wurden anschließend in vier Zweige aufgeteilt. Ein Zweig war direkt mit der Empfänger-Wallet des Angreifers verbunden: Laut der Analyse des Unternehmens leitete ein Vermittler nur 43 Minuten vor dem Eintreffen der gestohlenen Gelder 8 ETH dorthin weiter.

THORChain-Mitwirkende gaben in einem Discord-Update bekannt, dass die aktuellen Erkenntnisse auf einen neu eingerichteten Knotenpunkt im Zusammenhang mit dem Angriff hindeuten, der wahrscheinlich von einem einzelnen Angreifer betrieben wird. Die führende Theorie geht von einer Schwachstelle im GG20-Signaturverfahren aus, wie aus demdent Protokoll-Update auf X hervorgeht.

Diese Sicherheitslücke reiht sich in eine Reihe von DeFidentim Mai 2026 ein. Cryptopolitan berichtete bereits über die Angriffe auf Transit Finance (Verlust von ca. 1,88 Millionen US-Dollar) sowie auf Huma Finance (Verlust von ca. 101.400 US-Dollar) und Ink Finance (Verlust von ca. 140.000 US-Dollar) Anfang des Monats, die beide auf Smarttracauf Polygon abzielten.