THORChain (RUNE)은 한 Asgard 볼트에서 공격자가 약 1,080만 달러를 유출한 이후 금요일에 거래 및 서명을 중단했으며, Ledger CTO는 MPC 취약 가능성을 지적했다.
네 개 체인에 걸친 Asgard 볼트 유출
이 크로스체인 유동성 프로토콜은 온체인 조사자 ZachXBT가 Bitcoin (BTC), Ethereum (ETH), BNB Chain, Base의 볼트를 겨냥한 수상한 유출을 포착한 뒤 거래와 서명 운영을 중단했다.
성명에서 THORChain은 네트워크가 비정상적인 활동을 자동으로 감지하고, 추가 아웃바운드 전송을 막기 위해 서명을 중단했다고 밝혔다.
여섯 개 Asgard 볼트 중 하나가 손상된 것으로 보였고, churn이 일시 중단됐으며, 노드 운영자들에게 키 관리 및 운영 보안을 재점검할 것이 요청되었다.
프로토콜의 Mimir 거버넌스 모듈은 거래 및 서명 중단 플래그를 활성 상태로 전환했고, 이 일시 중단은 블록 26190429부터 약 12시간 동안 유지되었다.
공격자와 연관된 지갑에는 약 3,443 ETH, 36.85 BTC, 96.6 BNB와 함께 USDT, USDC, WBTC, AAVE, LINK가 담겨 있다. 소식이 전해진 뒤 RUNE은 약 12% 하락하며 0.50달러 근처로 떨어졌다. THORChain은 초기 정황상 사용자 자금은 직접적인 영향을 받지 않은 것으로 보인다고 밝혔다.
Also Read: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Ledger CTO, MPC 위험 경고
하드웨어 지갑 제작사 Ledger의 최고기술책임자(CTO) Charles Guillemet는 이번 사건이 threshold signature scheme(TSS) 인프라의 취약성과 관련돼 있을 수 있다고 시사했다.
THORChain 기여자 JP Thor의 발언을 인용하며 Guillemet는 이번 침해가 일부 멀티파티 컴퓨테이션(MPC) 지갑 시스템에서 사용되는 threshold signature 프로토콜 GG20을 악용한 MPC 공격일 수 있다고 말했다.
그는 이전 GG18과 GG20 프로토콜이 CVE-2023-33241 및 TSSHOCK을 포함한 치명적인 취약점에 직면한 바 있다고 언급했다.
Guillemet는 AI 기반 취약점 발굴 기술의 발전으로, 과거에는 공격이 어렵다고 여겨졌던 밸리데이터 인프라를 손상시키는 진입 장벽이 낮아지고 있다고 경고했다.
그가 설명한 이론적 공격 경로는 밸리데이터를 먼저 장악한 뒤, 해당 노드가 활성 볼트에 참여할 때까지 기다리고, 서명 과정에서 변조된 증명을 악용해 오프라인에서 볼트 키를 재구성하는 시나리오를 포함한다. 그는 아직까지 근본 원인은 불분명하며, 조사자들도 알려진 GG20 결함이 이용됐는지 혹은 새로운 취약점이 드러난 것인지 확인하지 못했다고 경고했다.
THORChain의 최근 보안 기록
THORChain의 볼트는 여러 노드가 하나의 개인 키를 한곳에 복원하지 않고도 공동으로 서명을 생성할 수 있게 해주는 암호 시스템인 TSS에 의존한다. 이 아키텍처는 오랫동안 크로스체인 DeFi의 강점으로 여겨졌지만, 현재는 새로운 의심을 낳고 있다.
이 프로토콜은 지난 1년 동안 여러 차례의 고위험 사건을 겪었다. 2025년 2월에는 $14억 Bybit 해킹의 배후 공격자가 약 12억 달러를 THORChain을 통해 라우팅해 자산을 비트코인으로 전환했다.
KelpDAO 공격자 역시 THORChain 프로토콜을 활용해 약 8,000만 달러 상당의 이더를 이동시켰고, THORChain 공동 창업자 JP Thorbjornsen은 2025년 9월 딥페이크 줌(Zoom) 사기에 휘말려 135만 달러를 잃었다.
Read Next: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok