THORChain (RUNE) legde vrijdag de handel en het ondertekenen stil nadat aanvallers ongeveer $10,8 miljoen leeg trokken uit een van zijn Asgard-kluizen, waarbij de CTO van Ledger mogelijke MPC-zwaktes aanstipte.
Asgard-kluis leeggehaald over vier chains
Het cross-chain liquiditeitsprotocol pauzeerde handels- en ondertekeningsactiviteiten nadat on-chain onderzoeker ZachXBT verdachte uitstromen signaleerde gericht op kluizen op Bitcoin (BTC), Ethereum (ETH), BNB Chain en Base.
In een verklaring zei THORChain dat het netwerk automatisch abnormale activiteit detecteerde en het ondertekenen onderbrak om verdere uitgaande transfers te blokkeren.
Een van de zes Asgard-kluizen leek gecompromitteerd, churn werd gepauzeerd en node-operators werd gevraagd hun key management en operationele security te herzien.
De Mimir-governancemodule van het protocol schakelde de stops op handel en ondertekenen in, waarbij de pauze ongeveer 12 uur duurde vanaf blok 26190429.
Wallets die aan de aanvaller zijn gelinkt, houden ongeveer 3.443 ETH, 36,85 BTC en 96,6 BNB aan, naast USDT, USDC, WBTC, AAVE en LINK. RUNE daalde ongeveer 12% na het nieuws, richting $0,50. THORChain zei dat eerste aanwijzingen suggereren dat fondsen van gebruikers niet direct zijn geraakt.
Ook lezen: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Ledger-CTO wijst op MPC-risico
Charles Guillemet, chief technology officer bij hardware wallet-maker Ledger, suggereerde dat het incident te maken kan hebben met zwaktes in infrastructuur voor threshold signature schemes.
Onder verwijzing naar opmerkingen van THORChain-bijdrager JP Thor, zei Guillemet dat het lek een MPC-exploit kan zijn rond GG20, een threshold signature-protocol dat in sommige multi-party computation-walletsystemen wordt gebruikt.
Hij merkte op dat eerdere GG18- en GG20-protocollen met kritieke kwetsbaarheden zijn geconfronteerd, waaronder CVE-2023-33241 en TSSHOCK.
Guillemet waarschuwde dat vooruitgang in door AI ondersteunde kwetsbaarheidsdetectie de drempel kan verlagen voor het compromitteren van validatorinfrastructuur die eerder als moeilijk aan te vallen werd beschouwd.
Een theoretisch aanvalspad, zei hij, kan inhouden dat een aanvaller een validator compromitteert, wacht tot deze toetreedt tot een actieve kluis, misvormde bewijzen tijdens het ondertekenen uitbuit en vervolgens kluissleutels offline reconstrueert. Hij benadrukte dat de root cause nog onduidelijk is en dat onderzoekers niet hebben bevestigd of een bekende GG20-fout of een nieuwe zwakte is misbruikt.
Het recente security-record van THORChain
De kluizen van THORChain vertrouwen op TSS, een cryptografisch systeem waarmee meerdere nodes gezamenlijk handtekeningen kunnen produceren zonder de volledige private key op één plek te reconstrueren. De architectuur werd lang gezien als een kracht van cross-chain DeFi, maar ligt nu opnieuw onder het vergrootglas.
Het protocol heeft het afgelopen jaar meerdere spraakmakende incidenten doorstaan. In februari 2025 leidden de aanvallers achter de $1,4 miljard Bybit-hack bijna $1,2 miljard via THORChain om activa naar Bitcoin om te zetten.
De KelpDAO-exploiter gebruikte het THORChain-protocol ook om ongeveer $80 miljoen aan Ether te verplaatsen, terwijl THORChain-cofounder JP Thorbjornsen $1,35 miljoen verloor in een deepfake Zoom-scam in september 2025.
Lees hierna: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok