THORChain (RUNE) stoppte am Freitag Handel und Signaturen, nachdem Angreifer rund 10,8 Millionen US‑Dollar abgezogen hatten aus einem der Asgard-Tresore. Der CTO von Ledger warnte dabei vor möglichen Schwächen im MPC-Setup.
Asgard-Tresor über vier Chains geleert
Das Cross-Chain-Liquiditätsprotokoll pausierte Handels- und Signaturvorgänge, nachdem der On-Chain-Ermittler ZachXBT verdächtige Abflüsse meldete, die Tresore auf Bitcoin (BTC), Ethereum (ETH), der BNB Chain und Base ins Visier nahmen.
In einer Stellungnahme erklärte THORChain, das Netzwerk habe automatisch ungewöhnliche Aktivitäten erkannt und Signaturen ausgesetzt, um weitere ausgehende Transfers zu blockieren.
Einer von sechs Asgard-Tresoren schien kompromittiert, das Churning wurde gestoppt und die Node-Betreiber wurden aufgefordert, Schlüsselverwaltung und operative Sicherheit zu überprüfen.
Das Mimir-Governance-Modul des Protokolls aktivierte die Handels- und Signaturstopps, wobei die Pause rund 12 Stunden ab Block 26190429 andauerte.
Wallets, die mit dem Angreifer in Verbindung stehen, halten etwa 3.443 ETH, 36,85 BTC und 96,6 BNB sowie USDT, USDC, WBTC, AAVE und LINK. RUNE fiel nach den Nachrichten um etwa 12 % und näherte sich 0,50 US‑Dollar. THORChain erklärte, erste Hinweise deuteten darauf hin, dass Nutzervermögen nicht direkt betroffen seien.
Auch lesen: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Ledger-CTO warnt vor MPC-Risiko
Charles Guillemet, Chief Technology Officer des Hardware-Wallet-Herstellers Ledger, deutete an, dass der Vorfall mit Schwächen in der Infrastruktur von Threshold-Signature-Schemata zusammenhängen könnte.
Unter Verweis auf Aussagen des THORChain-Mitwirkenden JP Thor sagte er, es könnte sich um einen MPC-Exploit im Zusammenhang mit GG20 handeln, einem Threshold-Signaturprotokoll, das in einigen Multi-Party-Computing-Wallet-Systemen verwendet wird.
Er merkte an, dass frühere GG18- und GG20-Protokolle kritische Schwachstellen aufwiesen, darunter CVE-2023-33241 und TSSHOCK.
Guillemet warnte, dass Fortschritte bei KI-gestützter Schwachstellenforschung die Hürde für Angriffe auf Validator-Infrastrukturen senken könnten, die einst als schwer kompromittierbar galten.
Ein theoretischer Angriffsweg, so Guillemet, könnte darin bestehen, einen Validator zu kompromittieren, abzuwarten, bis er einem aktiven Tresor beitritt, fehlerhafte Proofs während des Signierens auszunutzen und die Tresorschlüssel offline zu rekonstruieren. Er betonte, dass die eigentliche Ursache weiterhin unklar sei und Ermittler weder eine bekannte GG20-Schwachstelle noch einen neuen Fehler bestätigen konnten.
THORChains jüngste Sicherheitsbilanz
Die Tresore von THORChain basieren auf TSS, einem kryptografischen System, das es mehreren Nodes ermöglicht, gemeinsam Signaturen zu erzeugen, ohne den vollständigen privaten Schlüssel an einem Ort zu rekonstruieren. Die Architektur galt lange als Stärke von Cross-Chain-DeFi, steht nun aber verstärkt unter Beobachtung.
Das Protokoll hat im vergangenen Jahr mehrere prominente Vorfälle überstanden. Im Februar 2025 schleusten die Angreifer hinter dem $1,4‑Milliarden-Bybit-Hack rund 1,2 Milliarden US‑Dollar durch THORChain, um Vermögenswerte in Bitcoin umzutauschen.
Auch der KelpDAO-Exploiter nutzte das THORChain-Protokoll, um etwa 80 Millionen US‑Dollar in Ether zu bewegen, während THORChain-Mitgründer JP Thorbjornsen im September 2025 1,35 Millionen US‑Dollar in einem Deepfake-Zoom-Betrug verlor.
Als Nächstes lesen: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok