THORChain (RUNE) stoppte am Freitag Handel und Signaturen, nachdem Angreifer rund 10,8 Millionen US-Dollar abgezogen hatten aus einem der Asgard-Tresore. Der CTO von Ledger verwies dabei auf mögliche Schwächen bei MPC.
Asgard-Tresor über vier Chains geleert
Das Cross-Chain-Liquiditätsprotokoll pausierte Handels- und Signaturoperationen, nachdem der On-Chain-Ermittler ZachXBT verdächtige Abflüsse meldete, die auf Tresore auf Bitcoin (BTC), Ethereum (ETH), BNB Chain und Base zielten.
In einer Stellungnahme erklärte THORChain, dass das Netzwerk automatisch ungewöhnliche Aktivität erkannt und das Signieren ausgesetzt habe, um weitere ausgehende Transfers zu blockieren.
Einer von sechs Asgard-Tresoren schien kompromittiert, der Churn wurde pausiert und die Node-Betreiber wurden aufgefordert, Schlüsselverwaltung und operative Sicherheit zu überprüfen.
Das Mimir-Governance-Modul des Protokolls stellte die Handels- und Signaturstopps auf aktiv, wobei die Pause etwa 12 Stunden ab Block 26190429 andauerte.
Mit dem Angreifer verknüpfte Wallets halten etwa 3.443 ETH, 36,85 BTC und 96,6 BNB sowie USDT, USDC, WBTC, AAVE und LINK. RUNE fiel nach den Nachrichten um etwa 12 % und näherte sich 0,50 US-Dollar. THORChain erklärte, erste Hinweise deuteten darauf hin, dass Nutzervermögen nicht direkt betroffen seien.
Auch lesen: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Ledger-CTO warnt vor MPC-Risiko
Charles Guillemet, Chief Technology Officer beim Hardware-Wallet-Hersteller Ledger, deutete an, dass der Vorfall Schwächen in der Infrastruktur von Threshold-Signature-Schemes betreffen könnte.
Unter Bezug auf Bemerkungen des THORChain-Mitwirkenden JP Thor sagte er, der Einbruch könne ein MPC-Exploit im Zusammenhang mit GG20 sein, einem Threshold-Signaturprotokoll, das in einigen Multi-Party-Computing-Wallet-Systemen verwendet wird.
Er wies darauf hin, dass frühere GG18- und GG20-Protokolle mit kritischen Schwachstellen konfrontiert waren, darunter CVE-2023-33241 und TSSHOCK.
Guillemet warnte, dass Fortschritte bei KI-gestützter Schwachstellensuche die Hürde für Angriffe auf Validator-Infrastruktur senken könnten, die bisher als schwer angreifbar galt.
Ein theoretischer Angriffsweg, so sagte er, könnte darin bestehen, einen Validator zu kompromittieren, zu warten, bis dieser einem aktiven Tresor beitritt, während des Signierens fehlerhafte Beweise auszunutzen und die Tresorschlüssel offline zu rekonstruieren. Er betonte, dass die eigentliche Ursache noch unklar sei und Ermittler noch nicht bestätigt hätten, ob eine bekannte GG20-Schwachstelle oder eine neue Lücke ausgenutzt wurde.
THORChains jüngste Sicherheitsbilanz
Die Tresore von THORChain stützen sich auf TSS, ein kryptografisches System, das es mehreren Nodes ermöglicht, gemeinsam Signaturen zu erstellen, ohne den vollständigen privaten Schlüssel an einem Ort zu rekonstruieren. Die Architektur galt lange als Stärke von Cross-Chain-DeFi, steht nun aber erneut unter genauerer Beobachtung.
Das Protokoll hat im vergangenen Jahr mehrere prominente Vorfälle überstanden. Im Februar 2025 leiteten die Angreifer hinter dem $1,4-Milliarden-Bybit-Hack fast 1,2 Milliarden US-Dollar über THORChain, um Vermögenswerte in Bitcoin umzuwandeln.
Auch der KelpDAO-Exploiter nutzte das THORChain-Protokoll, um rund 80 Millionen US-Dollar in Ether zu verschieben, während THORChain-Mitgründer JP Thorbjornsen im September 2025 in einem Deepfake-Zoom-Betrug 1,35 Millionen US-Dollar verlor.
Als Nächstes lesen: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok