THORChain 遭攻擊損失逾千萬美元:一個去中心化協議的緊急停止揭示了什麼
2026 年 5 月 15 日,THORChain 被攻擊,超過 1080 萬美元從協議自己的保險庫裡被清空,橫跨比特幣、以太坊、BNB Chain 和 Base 四條鏈。這是 THORChain 自身第一次成為主要受害者,而不是被盜資金的轉移通道。
但要理解這個事件的真正意義,需要先理解 THORChain 是什麼,以及它在整個 DeFi 生態裡扮演的角色。
THORChain 是一個去中心化的跨鏈流動性協議,讓用戶可以直接在不同的區塊鏈之間兌換原生資產,例如用真實的比特幣換以太坊,不需要包裝代幣,不需要中心化交易所。這個功能讓它成為 DeFi 生態裡一個重要的基礎設施層,Trust Wallet、Ledger Live 等主流錢包都集成了它的服務。當你在這些錢包裡進行跨鏈兌換,你可能在不知情的情況下,資產已經經過了 THORChain 的保險庫。
THORChain 的核心架構依賴一種叫做 Asgard 保險庫的多簽錢包,由節點網絡共同控制,用來持有跨鏈交易過程中的資產。這次攻擊的目標,就是其中一個 Asgard 保險庫,損失約 1070 萬美元的協議自有資金。攻擊發生後,THORChain 透過 Mimir 治理模組將全網交易和簽署操作暫停,節點暫停運行了約十二小時。
這個暫停的動作,在社群裡引發了一個更深層的問題。
過去一年,THORChain 曾多次以「去中心化、無法審查、沒有緊急停止機制」為由,讓大量被盜資金透過它的網絡進行跨鏈轉換。2025 年 Bybit 被盜事件後,Lazarus Group 在一週內透過 THORChain 轉移了約九億美元的被盜加密資產。當時三名驗證者投票暫停 ETH 交易,試圖阻止這些資金流轉,但那個投票在幾分鐘內就被推翻,因為只需要四票反對就能否決。節點營運商從這些交易中賺取了數百萬美元的手續費。
然後今天,協議自己的保險庫受到威脅,全網暫停在幾小時內出現。
這個矛盾不是在批評 THORChain 的道德選擇。它揭示的是一個關於去中心化程度的根本問題。
每一個宣稱去中心化的協議,實際上的去中心化程度都不一樣。THORChain 約有一百個節點營運商,以太坊有超過百萬個驗證者。節點數量的差距,決定了少數人能否影響整個網絡的運作方向。去中心化程度越低,協議在壓力下的實際行為就越可能和它對外宣稱的樣子出現距離。今天 THORChain 被攻擊讓這個距離變得顯而易見了。
當你使用任何跨鏈兌換服務,你的資產在轉移過程中會經過你看不見的中間層。那個中間層的安全性、它的實際控制結構、以及在出問題時誰來負責,這些不會出現在你點擊確認的頁面上。今天 THORChain 的直接受害者是協議本身,不是個別用戶的錢包。但作為被廣泛集成的跨鏈基礎設施,它的安全事件影響的範圍遠超過直接使用它的人。
這就是為什麼這個事件和每一個在 Web3 裡行動的人都有關係,不管你有沒有聽說過 THORChain。它讓我們看到,去中心化不能只是一個宣稱,它需要真實的架構來支撐。當架構不夠去中心化,少數人的決定就會決定所有人的結果。
延伸閱讀: