L'exchange decentralizzato cross-chain THORChain ha subito il suo secondo hack multimilionario in poche settimane: questa volta il danno è di 8 milioni di dollari in Ether.

Tuttavia, l'attacco sembra essere stato eseguito da un white-hat hacker: THORChain ha infatti annunciato che l'autore dell’hack ha richiesto una taglia pari al 10% dei fondi rubati. Il trade di ETH verrà arrestato fino a quando il codice non sarà stato verificato.

I fornitori di liquidità danneggiati dall'exploit saranno rimborsati utilizzando i fondi di tesoreria del progetto:

"THORChain ha subito un sofisticato attacco al suo ETH Router, che ha portato al furto di circa 8 milioni di dollari. L'hacker ha deliberatamente limitato il suo impatto: a quanto pare si tratta di un white-hat hacker.

Il trading di ETH verrà interrotto fino a quando non potrà essere sottoposto a revisione dai nostri audit partner.

I liquidity provider nelle pool ERC-20 saranno rimborsati."

"L'hacker white-hat ha richiesto una taglia del 10%, che sarà consegnata se ci contatterà. Dovrebbe essere incoraggiato a farlo.

Si tratta di un momento difficile per la comunità e il progetto, è molto doloroso.

La nostra tesoriera ha i fondi per coprire i danni, ma è arrivato il momento di prendere seriamente dei provvedimenti."

L’exchange – che è ancora nel mezzo di un lancio beta suddiviso in fasi chiamato Chaosnet – ha ammesso che la "complessità" della sua state machine rappresenta il "tallone di Archille" di THORChain. Tuttavia ha affermato che i problemi "possono essere risolti prestando maggiore attenzione, anche tramite un ripensamento nelle procedure degli sviluppatori e nella peer-review.

Uno screenshot condiviso sul server Discord dedicato al progetto sembra mostrare un messaggio inoltrato dall'hacker tramite i dati della transazione.

L'hacker afferma di aver deliberatamente ridotto al minimo il danno dell'exploit, nel tentativo di impartire una lezione a THORChain: "Non dovreste aver fretta di lanciare un codice che controlla fondi 9 cifre" e "Disabilitate tutto fino al completamento degli audit."

L'hacker aggiunge che avrebbero potuto rubare Ether, Bitcoin, Binance Coin, Lycancoin e molti altri token BEP-20 se avesse voluto, affermando che sono stati riscontrati "numerosi problemi critici" e che una taglia del 10% avrebbe potuto prevenire l'incidente.

Il 16 luglio, Cointelegraph ha riferito che THORChain era stato interrotto dopo che 4.000 Ether, per un valore di 7,6 milioni di dollari, erano stati sottratti dal protocollo. L’exchange ha proposto all'hacker, senza successo, il pagamento di una taglia in cambio della restituzione dei fondi rubati.

L’exchange decentralizzato ha perso ulteriori 140.000$ in un altro exploit subito il mese scorso.

THORChain ha avviato il lancio controllato di "Chaosnet" ad aprile, consentendo scambi cross-chain attraverso le reti Bitcoin, Ethereum, Litecoin, Bitcoin Cash e Binance Chain.