THORChain-Node-Betreiber stimmen über ADR028 ab, einen Wiederherstellungsplan, der das Netzwerk nach einem 10,7 Millionen US-Dollar schweren Exploit neu starten würde, ohne neues RUNE zu minzen.
Zusammenfassung
- Der ADR028-Plan von THORChain würde zuerst Liquidität verwenden, die im Protokoll gehalten wird, bevor verbleibende Verluste mit Synth-Holdern geteilt werden.
- Der Vorschlag vermeidet neues RUNE-Minting, Token-Verkäufe oder Verwässerung der Holder, während Node-Betreiber über die Wiederherstellung abstimmen.
- Jüngste DeFi-Exploits erhöhen den Druck auf THORChain, nach dem Patchen seiner GG20-Schwachstelle sicher neu zu starten.
THORChain teilte mit, dass Node-Betreiber nun über ADR028 abstimmen, nachdem der Vorfall am 15. Mai passiert ist. Der Vorschlag legt die Richtung für die Wiederherstellung fest, während die genauen Zahlen weiterhin späteren Änderungen im Rahmen der Mimir-Governance unterliegen.
Der offizielle Exploit-Report sagte, der Angreifer habe etwa 10,7 Millionen US-Dollar aus einem von fünf Vaults abgezogen. THORChain sagte, der Angreifer sei ein neu „churned“ Node-Betreiber gewesen, der eine GG20 Threshold Signature Scheme-Schwachstelle ausgenutzt habe. Die anderen vier Vaults waren nicht betroffen.
Wiederherstellungsplan vermeidet neues RUNE
Unter ADR028 würde die Liquidität, die im Protokoll gehalten wird, den Verlust zuerst absorbieren. Jede verbleibende Unterdeckung würde dann auf Synth-Holder verteilt. THORChain sagte, die Aufteilung werde noch geprüft und später angepasst.
> THORChain Incident Update #4
>
> Nach den Ereignissen vom 15. Mai arbeitet die Community hart daran, einen Weg nach vorn zu definieren. ADR028 ist jetzt veröffentlicht und eine Abstimmung ist für Node Operators offen.
>
>
> 🔹 Der Wiederherstellungsplan 🔹
>
> Das Protokoll absorbiert den Verlust zuerst über Protocol-Owned...
>
>
>
>
>
> --- THORChain (@THORChain) 22. Mai 2026
Der Vorschlag sagt, es werde kein neues RUNE gemint, kein RUNE verkauft und die Holder würden nicht verwässert. Die im Protokoll gehaltene Liquidität würde auf null reduziert, wobei ein Teil des zukünftigen System-Einkommens umgeleitet wird, um sie im Laufe der Zeit wieder aufzubauen.
Außerdem sagte THORChain, GG20 bleibe vorerst bestehen, müsse aber gepatcht und aufgerüstet werden, bevor der Handel wieder aufgenommen werde. Das Netzwerk müsse zudem einen erfolgreichen Churn durchlaufen, bevor die normale Aktivität zurückkehrt.
Der Exploit-Report sagte, automatische Solvabilitätschecks hätten die Vault-Uneinigkeit innerhalb von Minuten erkannt. Node-Betreiber hätten dann manuelle Pausen und Mimir-Voten genutzt, um den Handel, das Signieren, die Chain-Beobachtung und den Churn innerhalb von etwa zwei Stunden nach dem Community-Alarm zu stoppen.
Jüngste DeFi-Exploits erhöhen den Druck
Die THORChain-Abstimmung kommt nach früheren Berichten, wonach das Protokoll den Handel stoppte, als ZachXBT warnte, dass die Verluste 10 Millionen US-Dollar über Bitcoin, Ethereum, BSC und Base hinweg übersteigen könnten. Die zugehörige Berichterstattung stellte fest, dass RUNE nach dem Alarm fiel, während Nutzer auf klarere Details von Protokoll-Operatoren warteten.
Der Vorfall folgt außerdem auf eine arbeitsreiche Phase für Krypto-Exploits. Jüngste Berichte sagten, die Verus Ethereum-Bridge habe nach Angriffen mit einer gefälschten Cross-Chain-Übertragungsnachricht mehr als 11,5 Millionen US-Dollar verloren. Sicherheitsfirmen brachten diesen Exploit mit fehlenden Validierungschecks im Bridge-Prozess in Verbindung.
Auch April zeigte, wie stark der Druck auf die DeFi-Sicherheit geworden ist. Krypto-Protokolle verloren in den ersten 18 Tagen des Aprils mehr als 606 Millionen US-Dollar, angeführt von der 292 Millionen US-Dollar schweren KelpDAO-Panne und dem 285 Millionen US-Dollar schweren Exploit des Drift Protocol.
TRM Labs berichtete zudem, dass Akteure mit Verbindungen zu Nordkorea in den ersten vier Monaten 2026 etwa 76% der weltweiten Verluste durch Krypto-Hacks verursacht hätten. Das Unternehmen bezifferte diese Verluste bis einschließlich April auf etwa 577 Millionen US-Dollar.
Angreifer droht Slashing und ein Bounty-Angebot
ADR028 sieht ein vollständiges Slashing für den Node des Angreifers vor. THORChain sagte, unschuldige Nodes, die demselben Vault zugeordnet waren, würden geschützt. Wiederhergestelltes RUNE würde mit etwaigen Assets kombiniert, die aus dem betroffenen Vault wiederhergestellt werden, während überschüssiges RUNE verbrannt würde.
Der Vorschlag bietet dem Angreifer außerdem ein Bounty, um die Gelder zurückzugeben. Wenn die Gelder teilweise zurückgegeben werden, würde der Wiederherstellungsplan um denselben Anteil zurückgerollt. THORChain sagte außerdem, das Protokoll bleibe neutral und permissionless, was bedeutet, dass die Swaps des Angreifers nicht zensiert werden, sobald der Handel wieder aufgenommen wird.
Die Abstimmung gibt den Node-Betreibern nun einen Weg, die Richtung der Wiederherstellung zu genehmigen. Sie finalisiert nicht jede Zahl. Der Haupttest ist, ob THORChain sicher neu starten kann, Verluste ohne neues RUNE absorbieren und das Vertrauen nach einem weiteren hochkarätigen DeFi-Exploit wiederherstellen kann.
