Z informacji podawanych na bieżąco wynika, że skradziono około 2500 ETH o wartości 4,9 milionów dolarów, choć wcześniej mówiło się o 4000, a początkowo nawet o 13000 ETH.
Atakujący oszukał ETH Bifrost, który zajmuje się łączeniem wszystkich łańcuchów, tak aby odczytał kwotę depozytu w wysokości 200, gdy w rzeczywistości wynosiła zero.
Initial Assessment.
— THORChain #ACTIVATETHESYNTHS (@THORChain) July 16, 2021
1) ETH Bifrost was recently updated to allow the router to be "wrapped" by contracts (to allow composability)https://t.co/GXclWbPgP2
2) The attacker then tricked the Bifrost by using a custom wrapper contract, when they actually transferred 0 ETH https://t.co/TlcNkO9PMj
Według informacji atakujący zapłacił ogromne opłaty (związane z poślizgiem). Około 1,4 miliona dolarów zostało przechwyconych przez węzły, a kolejne 1,4 miliona dolarów przez dostawców płynności ERC20.
Jedynymi użytkownikami, którzy zostali poszkodowani w ataku są dostawcy płynności, ale dzięki ogromnemu zapasowi środków w skarbcu THORChain całość zostanie wynagrodzona wszystkim pokrzywdzonym i około 5 milionów zostanie wpłaconych do pul płynności gdy tylko sieć ruszy.
The recovery plan is in motion:
— THORChain #ACTIVATETHESYNTHS (@THORChain) July 16, 2021
1) Release the patch and restart the network, block the pending outbounds, restore solvency
2) Donate funds back into the ETH pool to restore the lost funds to ETH LPs
3) Release the automatic-solvency checker
4) Work with security firms to audit
Szybka reakcja społeczności, czy brak decentralizacji?
Bardzo szybka reakcja pozwoliła na uniknięcie być może znacznie większych strat. Sieć została zatrzymana, lecz podniosło to sporo pytań dotyczących słowa „zdecentralizowany” w opisie projektu.
Wiele osób poddało to pod wątpliwość jednak jak THORChain napisał na Twitterze była to szybka reakcja węzłów, które na prośbę deweloperów zdecydowały się zatrzymać.
THORChain is decentralised with the following thresholds:
— THORChain #ACTIVATETHESYNTHS (@THORChain) July 16, 2021
1) It requires 67% of 38 nodes to run
2) Will halt if 33% of 38 nodes halt
These nodes are anonymous and anyone can become one (with minimum bond amounts).
No individual (or minority) can affect the system.
Co ciekawe w kierunku RUNE płynie także sporo wyrazów wsparcia. Wiele osób, być może ze względu na obiecane pokrycie strat, nie tylko nie chowa urazy, a wręcz stwierdza, że nie da się zbudować zdecentralizowanej giełdy pozwalającej wymienić BTC na ETH bez udziału osób trzecich, bez żadnych problemów po drodze.
Nie myli się ten, kto nic nie robi, a wygląda na to, że THORChain robi. Pozostaje czekać na rozwiązanie tego problemu i cieszyć się, że został on wykryty i załatany przy zachowaniu, jakby nie patrzeć, niewielkich strat, bo te kilka milionów w porównaniu do innych "exploit-ów" DeFi wydaje się być stratą niewielką.
