تورچین (THORChain) یکی از اصلیترین پروتکلهای سواپ بینزنجیرهای در هفته سوم می ۲۰۲۶ با یک اکسپلویت امنیتی جدی مواجه شد. تیم توسعهدهنده بهصورت اضطراری پروتکل را متوقف کرد تا از خروج بیشتر داراییها جلوگیری کند. این رویداد یک بار دیگر نشان داد که پروتکلهای دیفای بینزنجیرهای همچنان آسیبپذیرترین نقاط اکوسیستم هستند.
تورچین چیست؟
تورچین یک پروتکل غیرمتمرکز است که به کاربران اجازه میدهد بدون نیاز به پل (bridge) سنتی، بین بلاکچینهای مختلف مانند بیت کوین، اتریوم و چندین شبکه دیگر سواپ کنند. مکانیزم آن بر اساس استخرهای نقدینگی و نودهای اعتبارسنج توزیعشده کار میکند. در اوج فعالیت خود، روزانه بیش از ۵۰۰ میلیون دلار حجم تراکنش از طریق تورچین انجام میشد.
چه اتفاقی افتاد؟
بر اساس گزارش اولیه تیم تورچین، مهاجم از یک آسیبپذیری در منطق محاسبه قیمت استخر استفاده کرد تا داراییها را با قیمتی غیرواقعی از پروتکل خارج کند. این نوع حمله که گاهی «دستکاری اوراکل» نامیده میشود، یکی از رایجترین روشهای اکسپلویت در دیفای است.
بلافاصله پس از شناسایی، تیم یک «هالت اضطراری» روی پروتکل اعمال کرد — یعنی قرارداد هوشمند موقتاً از حالت عملیاتی خارج شد. این اقدام خسارات بیشتر را متوقف کرد اما تمام تراکنشهای در حال انجام را نیز معلق گذاشت. کاربران برای چند ساعت نمیتوانستند داراییهایشان را از استخرهای نقدینگی خارج کنند.
آیا تورچین اولین بار هک میشود؟
متأسفانه نه. تورچین سابقه دو هک بزرگ در ۲۰۲۱ را دارد که مجموعاً بیش از ۱۴ میلیون دلار از استخرهای نقدینگی آن خارج شد. پس از آن، تیم اصلاحات امنیتی گستردهای انجام داد و کد را چندین بار ممیزی (audit) کرد. اما هک ۲۰۲۶ نشان میدهد که حتی ممیزیهای متعدد هم تضمین صددرصد امنیت نیستند — بهویژه در سیستمهای پیچیده بینزنجیرهای.
درسی که باید یاد گرفت
پروتکلهای بینزنجیرهای (Cross-chain) به طور ذاتی پیچیدهترند چون باید با چندین بلاکچین همزمان تعامل داشته باشند. هر نقطه اتصال یک سطح حمله (attack surface) بالقوه است. این درس مهمی برای هر کسی است که نقدینگی در استخرهای دیفای میگذارد: همیشه باید سهم ریسک پروتکل را در کنار بازده آن در نظر بگیرید.
برای اطلاعات بیشتر درباره امنیت در دیفای و نحوه محافظت از سرمایه، مقالات آموزشی ارزینجا را دنبال کنید.
سوالات متداول
تورچین چیست؟
تورچین یک پروتکل غیرمتمرکز است که سواپ مستقیم بین بلاکچینهای مختلف (بیت کوین، اتریوم و غیره) را بدون واسطه متمرکز ممکن میکند. توکن بومی آن RUNE نام دارد.
آیا الان استفاده از تورچین امن است؟
پس از این رویداد، تیم در حال بررسی کامل کد و اعمال اصلاحات است. تا زمان انتشار گزارش رسمی پس از رفع آسیبپذیری، احتیاط توصیه میشود.
دستکاری اوراکل در دیفای چیست؟
اوراکل در دیفای سیستمی است که قیمت داراییها را از بازار خارجی به داخل قرارداد هوشمند میآورد. مهاجمان گاهی با دستکاری قیمت در استخرهای کوچک، میتوانند اوراکل را فریب دهند و از قرارداد دارایی استخراج کنند.
هالت اضطراری پروتکل به چه معناست؟
هالت اضطراری یعنی تیم توسعهدهنده بهصورت موقت قرارداد هوشمند را از حالت فعال خارج میکند تا از خروج بیشتر داراییها جلوگیری شود. این اقدام در اکثر پروتکلهای دیفای به عنوان ابزار دفاعی در نظر گرفته شده است.
