StartKryptowährungenTHORChain v3.20-Update: Tresorrotation nach 20 % TVL-Abfluss eingefroren

THORChain v3.20-Update: Tresorrotation nach 20 % TVL-Abfluss eingefroren

THORChains Entwicklungs-Roadmap wurde gerade um einen einzigen, unausweichlichen Meilenstein herum neu strukturiert: das THORChain v3.20 Update. Ein Konsensproblem, das während der Tresorrotation entdeckt wurde, hat das Netzwerk gezwungen, sämtliches Churning zu pausieren – und bis v3.20 ausgeliefert wird, bleibt diese Pause bestehen. Was als bescheidene Punktveröffentlichung begann, hat sich zu einem großen Deployment mit Sicherheitspatches, der lang erwarteten Monero-Integration und einem neuen Router V6 entwickelt. Dies ist das folgenreichste Release auf THORChains kurzfristigem Kalender.

Wichtigste Erkenntnisse

  • THORChains Tresorrotation (Churn) ist bis zur Auslieferung von v3.20 pausiert, aufgrund eines Konsensfehlers, der während des Churnings ausgelöst wurde.
  • Der geplante Patch v3.19.4 wurde in v3.20 integriert, das außerdem die Monero-Integration und die Bereitstellung von Router V6 umfasst.
  • Der jüngste Exploit ging auf drei ältere, verkettete Bugs zurück – jeder für sich harmlos, gemeinsam gefährlich.
  • Maya Protocol verarbeitete während der gesamten THORChain-Pause weiterhin Swaps, indem es einen einzelnen verifizierten gesunden Tresor betrieb.
  • Moca startet eine leise Krypto-Point-of-Sale-Beta, die Zahlungen über Maya Protocol und THORChain abwickelt.

THORChain-Churn bis zur Veröffentlichung von v3.20 pausiert

Die Tresorrotation ist einer von THORChains grundlegendsten Sicherheitsmechanismen, und derzeit läuft sie nicht. Ein Konsensproblem tritt speziell während des Churning-Prozesses auf, und die Behebung erfordert so tiefgreifende Änderungen in Thornode, dass ein Point-Release sie schlicht nicht tragen kann. Damit schied der ursprünglich geplante Patch v3.19.4 noch am selben Tag aus, an dem er diskutiert wurde.

Das Team traf sich stattdessen, um v3.20 zu schneiden, mit dem Ziel, eine Upgrade-Höhe für die folgende Woche anzusetzen. Sobald das Release live ist, besteht der Plan darin, zuerst Solana wieder zu aktivieren und dann das Churning wiederherzustellen. Alles, was ursprünglich für v3.19.4 vorgesehen war – einschließlich der Monero-Arbeiten – fließt nun in dieses eine größere Release ein, zusammen mit dem neuen Router-V6-Code, der bereits fertig ist und schrittweise ausgerollt wird. Für Nutzer bleibt die Erfahrung nach dem Upgrade gleich: Swaps werden wie gewohnt über THORChain Swap geroutet.

Die Konsolidierung ist nicht rein reaktiv. Mehrere Verbesserungen in ein koordiniertes Release zu bündeln, begrenzt die Anzahl der Male, die das Netzwerk eine Hochrisiko-Upgrade-Sequenz durchlaufen muss – was sehr wichtig ist, wenn die Kapazität der Reviewer ohnehin schon ausgereizt ist.

Exploit-Ursache: Drei Bugs, eine Kette

Der jüngste Exploit ging nicht auf einen einzelnen katastrophalen Fehler zurück. Laut Aaluxx, Mitgründer von Maya Protocol und inzwischen Senior-Entwickler bei THORChain, war die Verwundbarkeit eine Kombination aus drei älteren Bugs, die im Codebestand friedlich koexistiert hatten, bis jemand – oder etwas – entdeckte, dass sie in Sequenz ausgelöst werden konnten.

„Es waren drei Bugs, die in Kette ausnutzbar waren. Jeder einzelne für sich war harmlos.“ — Aaluxx

Er beschrieb den Morgen, an dem der Exploit ausbrach, als eiskalt. Das Team hatte kürzlich TSS-Patches aus einem privaten Repository gemerged, und seine unmittelbare Befürchtung war, dass ein Fehler in diesem Merge die Verwundbarkeit eingeführt hatte. Eine schnelle Prüfung räumte den Verdacht aus: Der Commit war intakt, und die eigentliche Ursache ließ sich auf deutlich älteren Code zurückführen. Das Team hatte tatsächlich erst vor ein paar Monaten einen ähnlichen verketteten Bug – einen potenziellen Double-Spend – entdeckt, was bedeutet, dass das zugrunde liegende Muster bereits auf dem Radar war.

Wie das Team den kompromittierten Tresor erkannte

Die Erkennung war technisch elegant. Indem einer der kryptografischen Parameter des TSS-Setups faktorisiert und nach kleinen Primzahlen gescannt wurde, die nicht vorhanden sein sollten, konnten Entwickler feststellen, ob ein bestimmter Tresor vergiftet worden war. Auf THORChain wurde einer von fünf Tresoren als kompromittiert identifiziert, was erklärt, warum etwa 20 % des TVL abgezogen wurden und nicht der volle Betrag. Die Methode gab dem Team eine verlässliche Diagnose in einer Situation, in der die Geschwindigkeit der Ersteinschätzung entscheidend war.

Aaluxx war in Bezug auf die breitere Lehre zur Rolle von KI in Zukunft deutlich: Ein kleines Team kann einen Codebestand nun aus deutlich mehr Blickwinkeln gleichzeitig untersuchen, was ein Verteidigungsvorteil ist – aber dieselbe Fähigkeit steht jedem zur Verfügung, der von außen nach Schwachstellen sucht. Er rechnet mit ein paar weiteren schwierigen Monaten, während sich die Branche an diese neue Realität anpasst.

Die Resilienz von Maya Protocol während der Downtime

Während der ungefähr einmonatigen Pause von THORChain führte Maya Protocol weiterhin Swaps durch. Derselbe latente Bug existierte im Codebestand von Maya, wurde aber nie ausgelöst. Wichtiger noch: Maya betrieb einen einzelnen Tresor, den das Team unabhängig als gesund verifizieren konnte – daher hielten sie ihn in Betrieb, während sie das Churning vorsorglich pausierten, da ein Churn denselben Exploit-Pfad hätte öffnen können.

Die praktische Folge war real: Native BTC-zu-ETH-Swaps waren in diesem Zeitraum auf THORChain nicht verfügbar, blieben aber auf Maya verfügbar. Das ist das Redundanzargument in konkreter Form.

„Wir müssen das Flugzeug mit zwei Triebwerken fliegen.“ — Aaluxx

Nach dem Exploit und während der früheren TCY-Phase argumentierten einige Stimmen für eine Fusion von THORChain und Maya – RUNE solle CACAO aufkaufen und alles in einer einzigen größeren DEX konsolidieren. Aaluxx räumte ein, dass dies eine vernünftige Geschäftsentscheidung gewesen wäre, lehnte sie aber dennoch ab. Zwei unabhängige, permissionless DEXes, die dieselben Ideale teilen, sind eine bewusste Designentscheidung, kein Effizienzverlust, den es zu optimieren gilt. Die Kosten der Redundanz sind real, aber ebenso die Kosten eines einzelnen Ausfallpunkts.

Entwicklungs-Engpässe und Governance-Reformen

Die Einschränkung, die THORChains Release-Geschwindigkeit bremst, ist kein Mangel an Code. Es ist ein Mangel an Personen, die qualifiziert sind, ihn zu reviewen und zu deployen.

„Unser begrenzender Faktor ist nicht die Code-Erstellung, sondern das Reviewen und Deployen.“ — Aaluxx

Derzeit haben nur etwa drei Personen die nötige Tiefe an Expertise, um Änderungen für THORChain zu reviewen und zu deployen. Mehr Entwickler oder mehr Pull Requests hinzuzufügen, beschleunigt die Auslieferung nicht automatisch – es erhöht die Review-Last auf einen ohnehin engen Engpass. Das Team arbeitet mit einem bewusst gewählten Zwei-zu-eins-Verhältnis: Jedes Stück Code, das geschrieben wird, erfordert mindestens zwei Reviews, bevor es weitergeht.

Vorschlag zur Reform des ADR-Prozesses

Auf der Governance-Seite ist ein strukturelles Problem aufgetreten. Da Vorschläge nun von vielen Beitragenden kommen und nicht mehr von einer einzigen koordinierenden Instanz wie Nine Realms, sind ADR-Nummern kollidiert, und grobe Ideen wurden als formale ADRs eingereicht, bevor sie baureif waren.

Der vorgeschlagene Fix besteht darin, die Ideenphase vollständig von der ADR-Phase zu trennen. Ein ADR, wie es Aaluxx formulierte, sollte bereits ein fertiges Rezept sein: prägnant, technisch und mit den verfügbaren Ressourcen umsetzbar. Was fehlt, ist ein vorgelagerter Raum – eine Art Schlachtfeld –, in dem rohe Ideen herausgefordert, verfeinert oder verworfen werden, bevor sie ADR-Status erlangen.

„Manche Leute denken, ‚Ich will Pasta‘ sei ein ADR. Das ist kein ADR, das ist ein Problem. Kommt mit einem Rezept zu uns.“ — Aaluxx

Weiter unten in der Kette könnten ADR-Nummern on-chain über Node-Relay angefragt und vergeben werden, wobei der erste zustimmende Node die nächste fortlaufende Nummer vergibt. Das würde die Eigentümerschaft eines Vorschlags eindeutig machen, ohne einen zentralisierten Gatekeeper zu schaffen. Ein ADR, man kann es nicht oft genug sagen, ist keine Voraussetzung, um Code auszuliefern – jeder kann heute Issues und Pull Requests auf GitLab eröffnen. Ein ADR ist ein Temperaturcheck, der Node-Betreibern sagt, ob sie wollen, dass bezahlte Entwicklerzeit für etwas aufgewendet wird.

Ökosystem-Integrationen und neue Features

Trotz der Pause gingen Integrationen im gesamten Ökosystem weiter voran. ShapeShift ist nun Symbiosis als aktiver Teilnehmer am dynamischen Gebührenmodell beigetreten, und die zurückfließenden Daten erweisen sich als nützlich. Drei oder vier weitere Affiliates sollen innerhalb einer Woche online gehen, vorbehaltlich der Verfügbarkeit von Chad Barraford, um die Integrationen abzuschließen.

Ein Community-Hinweis hat zwei größere Integrationsgespräche wiedereröffnet. Eine kalte DM an Randy Bechtold brachte Robinhood Chain als potenzielles Ziel ins Spiel – und ein kurzer Blick zeigte, dass sie auf Arbitrum aufgebaut ist, einem Netzwerk, das THORChain bereits verfolgte. Das schuf eine Zwei-für-eins-Gelegenheit: Bechtold hat einen Call mit dem Arbitrum-Team angesetzt und plant, dort um eine warme Einführung zu Robinhood zu bitten.

Aaluxx gab eine technische Warnung zu Arbitrum: Es läuft mit ungefähr vier Blöcken pro Sekunde, was die Nodes mit Nachrichtenvolumen ähnlich wie Solana flutet. Maya hat etwa ein Jahr damit verbracht, seine eigene Arbitrum-Unterstützung zu stabilisieren. Der Vorteil ist, dass die harte Arbeit auf Mayas Seite weitgehend erledigt ist, was THORChain einen kürzeren Pfad verschafft.

Monero-Integration kurz vor dem Start nach Least-Authority-Audit

Die XMR-Integration ist das größte Feature, das dem Go-live am nächsten ist. Aaluxx steht mit Least Authority wegen eines Sicherheitsaudits in Gesprächen – einer Firma, die er für Arbeiten an Privacy-Chains zu den besten zählt. Es gibt einen direkten Präzedenzfall: Zcash finanzierte ein Least-Authority-Audit seiner ZEC-in-Maya-Integration, das kürzlich mit nur kleineren Denial-of-Service- und Quality-of-Life-Funden und ohne größere Bugs abgeschlossen wurde. Die Monero-Arbeiten haben bereits Chain-Net-Tests und ein Entwickler-Review bestanden.

Getreu dem üblichen Ansatz des Protokolls wird der XMR-Pool zunächst mit flacher, protokolleigener Liquidität und kleinen Test-Swaps starten, sodass Nutzerfonds außen vor bleiben, während sich der Chain-Client im Produktivbetrieb bewährt.

„Zerbrich Dinge, aber zerbrich sie klein.“ — Aaluxx

ZEC auf THORChain-Seite hat keinen Zeitplan. Der Engpass ist die Kapazität: Refunds, Sicherheitsarbeit, der Neustart des Netzwerks und der Monero-Launch konkurrieren alle um dasselbe enge Review-und-Deploy-Fenster, und Churns haben Vorrang.

Moca startet Krypto-Point-of-Sale-Beta über Maya und THORChain

Der Zahlungsaspekt des Ökosystems erhielt sein eigenes Update. Moca, ein Krypto-Point-of-Sale- und Zahlungsnetzwerk, wickelt Transaktionen über Maya Protocol, THORChain und einige weitere Backends ab. Das Ziel ist, gewöhnlichen Händlern zu ermöglichen, Krypto zu akzeptieren und in Krypto zu settlen – ohne Reibung –, sodass reale Volumina als Ergebnis durch die Protokolle zurückfließen.

Die Beta ist bewusst leise angelegt, mit einem geplanten Start am Montag übernächster Woche, zunächst ohne Marketing-Push. Der Plan ist, Geschäftskonten zu eröffnen, Feedback zu sammeln, reale Testzahlungen durchzuführen und Bugs zu schließen, bevor ein breiterer Rollout erfolgt.

„Die Zahlungsseite von Maya ist über uns gekommen.“ — EricOnchain, Moca

Builder, die an frühem API-Zugang interessiert sind, können sich direkt an EricOnchain oder den Moca-Account wenden.

Was all dies verbindet, ist ein Netzwerk an einem echten Wendepunkt. v3.20 ist nicht nur ein Sicherheitspatch – es ist das Release, das das Churning wiederherstellt, Monero live bringt, Router V6 ausrollt und die Bühne für die folgenden Arbitrum- und ShapeShift-Erweiterungen bereitet. Wie sauber es ausgeliefert wird und wie das Least-Authority-Audit ausfällt, wird viel darüber aussagen, ob THORChains Erholungsnarrativ dem Gewicht seiner Versprechen standhält.

FAQ

Warum ist THORChains Churn-Operation pausiert?

Ein Konsensproblem, das speziell mit dem Churning-Prozess verknüpft ist, erfordert Korrekturen auf Thornode-Ebene. Diese Änderungen sind zu tiefgreifend, um sie in einem Point-Release auszuliefern, daher bleibt die Tresorrotation pausiert, bis das vollständige v3.20-Update bereitgestellt ist.

Was hat den jüngsten THORChain-Exploit verursacht?

Drei ältere Bugs, die jeweils für sich genommen harmlos waren, wurden ausnutzbar, als sie in Sequenz ausgelöst wurden. Die Kombination ermöglichte es, einen von THORChains fünf Tresoren zu kompromittieren, was dazu führte, dass ungefähr 20 % des TVL abgezogen wurden.

Wie konnte Maya Protocol während THORChains Downtime Swaps aufrechterhalten?

Maya betrieb einen einzelnen Tresor, den das Team unabhängig als nicht kompromittiert verifizieren konnte. Indem dieser Tresor in Betrieb gehalten wurde – während das Churning vorsorglich pausiert wurde – konnte Maya während der gesamten einmonatigen THORChain-Pause weiterhin Swaps verarbeiten.

Wie ist der Status der Monero-Integration auf THORChain?

Die XMR-Integration hat Chain-Net-Tests und ein Entwickler-Review bestanden. Ein Audit mit Least Authority wird arrangiert, und der Pool soll mit flacher, protokolleigener Liquidität und kleinen Test-Swaps starten, um das Risiko in der Anfangsphase zu begrenzen.

{„@context“:“https://schema.org“,“@type“:“FAQPage“,“mainEntity“:[{„@type“:“Question“,“name“:“Warum ist THORChains Churn-Operation pausiert?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Ein Konsensproblem, das speziell mit dem Churning-Prozess verknüpft ist, erfordert Korrekturen auf Thornode-Ebene. Diese Änderungen sind zu tiefgreifend, um sie in einem Point-Release auszuliefern, daher bleibt die Tresorrotation pausiert, bis das vollständige v3.20-Update bereitgestellt ist.“}},{„@type“:“Question“,“name“:“Was hat den jüngsten THORChain-Exploit verursacht?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Drei ältere Bugs, die jeweils für sich genommen harmlos waren, wurden ausnutzbar, als sie in Sequenz ausgelöst wurden. Die Kombination ermöglichte es, einen von THORChains fünf Tresoren zu kompromittieren, was dazu führte, dass ungefähr 20 % des TVL abgezogen wurden.“}},{„@type“:“Question“,“name“:“Wie konnte Maya Protocol während THORChains Downtime Swaps aufrechterhalten?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Maya betrieb einen einzelnen Tresor, den das Team unabhängig als nicht kompromittiert verifizieren konnte. Indem dieser Tresor in Betrieb gehalten wurde – während das Churning vorsorglich pausiert wurde – konnte Maya während der gesamten einmonatigen THORChain-Pause weiterhin Swaps verarbeiten.“}},{„@type“:“Question“,“name“:“Wie ist der Status der Monero-Integration auf THORChain?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Die XMR-Integration hat Chain-Net-Tests und ein Entwickler-Review bestanden. Ein Audit mit Least Authority wird arrangiert, und der Pool soll mit flacher, protokolleigener Liquidität und kleinen Test-Swaps starten, um das Risiko in der Anfangsphase zu begrenzen.“}}]}

Artikel mit Unterstützung künstlicher Intelligenz erstellt und von der Redaktion überprüft.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST