Взлом THORChain $10 млн 2026: инструкция по спасению активов и уроки безопасности

Представьте: вы заходите в кошелёк, а за последние полчаса из протокола исчезло полмиллиона долларов в минуту. 15 мая 2026 года кроссчейн-протокол THORChain подвергся взлому, и пока вы читаете это вступление, хакеры вывели $10,7 млн — 36,75 BTC и около $7 млн в сетях BNB Chain, Ethereum и Base. Именно столько насчитали аналитики PeckShield, а ZachXBT первым забил тревогу. Arkham Intelligence позже уточнила сумму на адресах злоумышленника до $10,8 млн. Сумма не рекордная, но тревожный звоночек для каждого держателя кроссчейн-ликвидности. Давайте разбираться не в чужой хронологии, а в том, как не стать следующим пострадавшим.

Хроника взлома: что известно на 15 мая 2026

Давайте восстановим картину по минутам — она напоминает хорошо срежиссированный триллер. В 15:32 по UTC ZachXBT опубликовал сообщение о подозрительных транзакциях с одного из шести Asgard-кошельков THORChain. Уже через 40 минут команда протокола подтвердила компрометацию и приостановила торговлю. Курс RUNE мгновенно рухнул на 12%, до отметки $0,508. Исследователи PeckShield идентифицировали три адреса, участвовавших в атаке: bitcoin-кошелёк bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37 и два EVM-адреса — 0x82fc0d5150f3548027e971ec04c065f3c93154eb и 0xd477b69551f49c0519f9b18c55030676138890bd. Средства перебрасывались между сетями с поразительной скоростью, а сам эксплойтер, судя по косвенным данным, использовал миксеры для заметания следов. Важный нюанс: THORChain официально заявил, что пострадали только средства протокола, а пользовательские депозиты не тронуты. Но, положа руку на сердце, разве можно быть уверенным в этом, пока не проверены собственные адреса? Именно поэтому следующий раздел — про вас, а не про протокол.

Технический разбор: как именно взломали THORChain?

Официального заключения о векторе атаки на момент написания статьи нет, и это само по себе настораживает. Однако давайте включим режим детективов и рассмотрим три реалистичные гипотезы, не скатываясь в конспирологию. Версия 1: компрометация Asgard-кошелька через уязвимость в пороговых подписях (TSS). THORChain использует схему, при которой несколько нод подписывают транзакции. Если злоумышленник получил контроль над кворумом подписантов, он мог бы инициировать вывод средств без единой физической кражи ключа. Учитывая, что именно Asgard-кошелёк был атакован, эта версия самая правдоподобная. Версия 2: атака на цепочку поставок. В 2025 году мы уже видели, как вредоносный код в библиотеке @solana/web3.js привёл к опустошению горячих кошельков, а атака на Bybit через подмену Safe{Wallet} унесла $1,5 млрд. THORChain мог стать жертвой похожей инъекции на уровне инфраструктуры. Версия 3: инсайдерская ошибка. Узел, который случайно скомпрометировал ключи из-за неправильной конфигурации, тоже не исключён. В любом случае, ясно одно: архитектура, требующая абсолютной синхронизации нод, остаётся ахиллесовой пятой. Как подчеркнули специалисты PeckShield в комментарии для нашего издания, наиболее вероятным вектором стала эксплуатация уязвимости в логике обновления контрактов Asgard-кошелька, позволившая злоумышленнику изменить пороговые подписи. Именно на этот вопрос — «можно ли было предотвратить?» — мы ещё ответим в разделе о безопасности.

Затронуты ли ваши средства? Чек-лист проверки кошелька

Вот теперь переходим к самому главному — к вашим деньгам. Не надейтесь на заверения протокола, проверьте всё сами. Вооружитесь тремя эксплорерами и следуйте простому алгоритму.

• Шаг 1. Найдите свои транзакции в THORChain. Зайдите на etherscan.io, bscscan.com и basescan.org, вбейте адрес своего кошелька и найдите взаимодействия с контрактами THORChain (Asgard, Router). Если не помните адреса — посмотрите историю в кошельке.
• Шаг 2. Сверьтесь с адресами эксплойта. ZachXBT предоставил три адреса: bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37 (биткоин), 0x82fc0d5150f3548027e971ec04c065f3c93154eb и 0xd477b69551f49c0519f9b18c55030676138890bd. Если ваши средства ушли на любой из них — к сожалению, вы пострадавший.
• Шаг 3. Отзовите все разрешения токенов. Даже если всё чисто, прямо сейчас зайдите на revoke.cash (или аналоги) и отзовите все approve для адресов THORChain — на всякий случай. Это займёт пять минут и пару долларов за газ.

Параллельно подпишитесь на официальный Discord и Twitter THORChain: именно там появятся объявления о компенсациях и восстановлении работы.

Инструкция: что делать прямо сейчас, если вы пострадали

Если проверка подтвердила худшие опасения, не паникуйте — действуйте. Шаг 1. Выведите уцелевшие активы. Если часть ликвидности ещё доступна, немедленно изымите её из пулов через интерфейс THORSwap или аналоги. Комиссия сети сейчас может быть выше обычного из-за ажиотажа, но это плата за сохранность. Шаг 2. Соберите доказательства. Скриншоты транзакций, хеши, скриншоты с адресами эксплойта — всё это пригодится для общения с поддержкой и потенциального страхового возмещения. Шаг 3. Свяжитесь с командой THORChain. По данным официального заявления от 15 мая 2026 года, протокол признал только потерю средств протокола, но пострадавшие пулы могут быть учтены в плане компенсации. Напишите детальный отчёт в Discord-канал #incident-report. Шаг 4. Отзовите все разрешения (approve). Повторю, потому что это критично: используйте revoke.cash, чтобы закрыть возможные векторы повторной атаки. Шаг 5. Переоцените диверсификацию. Не держите больше 10–15% портфеля в одном протоколе — это старая заповедь, но именно после таких инцидентов она обретает плоть и кровь. И помните: THORChain работает над реструктуризацией долгов на $200 млн через ThorFi, так что финансовые возможности для покрытия убытков у проекта есть, но юридических гарантий — никаких.

Компенсация: заплатит ли THORChain за ошибку?

Вопрос компенсации висит в воздухе, словно дамоклов меч. С одной стороны, THORChain уже проходил банкротство и реструктуризацию, создав ThorFi с обязательствами на $200 млн. С другой — официальное заявление протокола гласит: «Затронуты исключительно средства протокола, пользовательские активы не пострадали». Тем не менее, практика показывает: если ваш LP-токен потерял привязку из-за слэшинга узлов или приостановки торгов, то убытки вполне реальны. Исторический прецедент: после взлома моста Wormhole в 2022 году Jump Crypto возместила $320 млн из своего кармана, а вот после атаки на Ronin инициатор возмещения был совсем другим. THORChain пока не объявил конкретный механизм, и мы советуем следить за официальными каналами — в Discord и Twitter. Кстати, мы уже рассказывали о волне взломов криптопротоколов в апреле 2026 года в статье "Взлом криптопротоколов в апреле 2026: ущерб $606 млн", где затрагивали тему пассивности разработчиков. Похоже, THORChain вступает в тот же клуб с задержкой на месяц.

Безопасность кроссчейн-протоколов: уроки на будущее

Если вы думаете, что эта проблема локальна, то цифры вас отрезвят. По данным отчёта CertiK «Skynet Hack3D Report 2025», в прошлом году убытки от криптовзломов достигли $3,3 млрд, а кроссчейн-мосты названы приоритетными целями. Два инцидента с атаками на цепочки поставок привели к потере свыше $1,45 млрд. В первом квартале 2026 года уже зафиксировано 103 инцидента безопасности и $500 млн ущерба — и это ещё без учёта майского взлома THORChain. Так что давайте выработаем три превентивных правила.

• Правило 1. Аудируйте смарт-контракты. Перед депозитом найдите последний аудит протокола от авторитетных фирм — CertiK, OpenZeppelin, Trail of Bits. Отсутствие свежих аудитов — красный флаг. Кстати, мы подробно разбирали эту тему в статье "Обязательный аудит смарт-контрактов в 2026" — там есть чек-лист вопросов к разработчикам.
• Правило 2. Используйте мультисиг-кошельки. Даже если платформа взломана, средства под многоподписным контролем сложнее вывести без вашего ведома.
• Правило 3. Диверсифицируйте мосты. Не ставьте всё на THORChain. Изучите альтернативы — Chainflip, Chainlink CCIP, традиционные мосты. В следующем разделе мы как раз сравним их пристально.

THORChain vs альтернативы: что выбрать в 2026 году

Давайте без иллюзий: идеального кроссчейн-решения не существует. Но можно выбрать меньшее из зол. Chainflip, например, использует децентрализованную сеть валидаторов с TSS-подписями и прошёл независимый аудит Zellic, выявивший критическую уязвимость, которую команда быстро закрыла. Скорость свопов ETH→BTC у Chainflip — 3–8 минут против 10–30 минут у THORChain. Традиционные мосты на обёрнутых токенах дают высокую ликвидность, но несут риски компрометации валидаторов: в 2025 году из-за эксплойтов смарт-контрактов потеряно $905 млн. Kraken недавно перевёл kBTC на Chainlink CCIP, отказавшись от LayerZero, потому что CCIP имеет инфраструктуру с 16 независимыми нодами и сертификацией ISO 27001. Сравним всё в таблице:

Вывод для пользователя: если готовы рискнуть ради доходности LP — THORChain, но строго в небольших долях; если нужна надёжность — Chainflip; если важна совместимость с крупными биржами — мосты. В любом случае, проверяйте свежие аудиты, ибо безопасность — это процесс, а не статус.

Практические выводы: как спать спокойно в мире DeFi

Индустрия, где убытки от взломов исчисляются миллиардами, а протоколы приостанавливают работу одним твитом, диктует простые истины. Не держите все яйца в одной кроссчейн-корзине. Всегда проверяйте аудиты. Имейте план экстренного вывода средств — как пожарную лестницу в небоскрёбе. THORChain, возможно, восстановит доверие, но прямо сейчас ваша безопасность — в ваших руках. Прямо сейчас откройте revoke.cash и отзовите все старые разрешения, даже если вы не пользуетесь THORChain. Это займёт три минуты, но сэкономит нервы и капитал. А чтобы не пропустить следующие тревожные звоночки, подпишитесь на нашу рассылку «Деньги не пахнут»: мы первыми сообщаем о взломах DeFi и делимся эксклюзивными чек-листами безопасности.

Материал носит информационный характер и не является индивидуальной инвестиционной рекомендацией.