THORChain (RUNE) w piątek wstrzymał handel i podpisywanie transakcji po tym, jak atakujący wyprowadzili około 10,8 mln dolarów z jednego ze skarbców Asgard, a CTO Ledgera zwrócił uwagę na możliwe słabości MPC.
Skarbiec Asgard opróżniony na czterech łańcuchach
Protokół płynności międzyłańcuchowej wstrzymał handel i operacje podpisywania po tym, jak analityk on-chain ZachXBT zauważył podejrzane wypływy środków ze skarbców na Bitcoinie (BTC), Ethereum (ETH), BNB Chain oraz Base.
W oświadczeniu THORChain poinformował, że sieć automatycznie wykryła nienormalną aktywność i wstrzymała podpisywanie, aby zablokować dalsze wypłaty.
Jeden z sześciu skarbców Asgard wydawał się skompromitowany, „churn” został wstrzymany, a operatorów węzłów poproszono o przegląd zarządzania kluczami i bezpieczeństwa operacyjnego.
Moduł zarządzania Mimir w protokole aktywował blokadę handlu i podpisywania, a pauza trwała około 12 godzin od bloku 26190429.
Portfele powiązane z atakującym przechowują około 3 443 ETH, 36,85 BTC i 96,6 BNB, a także USDT, USDC, WBTC, AAVE i LINK. RUNE spadł o około 12% po tych informacjach, zbliżając się do poziomu 0,50 dolara. THORChain przekazał, że wstępne ustalenia sugerują, iż środki użytkowników nie zostały bezpośrednio naruszone.
Also Read: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
CTO Ledgera ostrzega przed ryzykiem MPC
Charles Guillemet, dyrektor ds. technologii w producencie portfeli sprzętowych Ledger, zasugerował, że incydent mógł wiązać się ze słabościami w infrastrukturze opartej na progowych schematach podpisu (TSS).
Powołując się na wypowiedzi współtwórcy THORChain JP Thora, Guillemet stwierdził, że naruszenie może być exploitem MPC obejmującym GG20, protokół progowych podpisów używany w niektórych systemach portfeli opartych na obliczeniach wielostronnych.
Zaznaczył, że wcześniejsze protokoły GG18 i GG20 mierzyły się z krytycznymi podatnościami, w tym CVE-2023-33241 oraz TSSHOCK.
Guillemet ostrzegł, że postępy w wykrywaniu podatności z wykorzystaniem AI mogą obniżać próg trudności kompromitacji infrastruktury walidatorów, którą wcześniej uznawano za trudną do zaatakowania.
Teoretyczna ścieżka ataku, jak wyjaśnił, mogłaby polegać na przejęciu walidatora, zaczekaniu, aż dołączy on do aktywnego skarbca, wykorzystaniu błędnie uformowanych dowodów podczas podpisywania oraz odtworzeniu kluczy skarbca w trybie offline. Zastrzegł, że główna przyczyna wciąż pozostaje niejasna, a badacze nie potwierdzili jeszcze, czy wykorzystano znaną lukę w GG20, czy też nową słabość.
Ostatnie incydenty bezpieczeństwa THORChain
Skarbce THORChain opierają się na TSS, systemie kryptograficznym, który pozwala wielu węzłom wspólnie generować podpisy bez odtwarzania pełnego klucza prywatnego w jednym miejscu. Taka architektura od dawna była postrzegana jako atut międzyłańcuchowego DeFi, jednak obecnie znalazła się pod nową lupą.
Protokół przetrwał kilka głośnych incydentów w ciągu ostatniego roku. W lutym 2025 r. atakujący stojący za włamaniem do Bybit na 1,4 mld dolarów przekierowali przez THORChain blisko 1,2 mld dolarów, aby zamienić aktywa na bitcoiny.
Exploiter KelpDAO również skorzystał z protokołu THORChain, aby przenieść około 80 mln dolarów w Etherze, a współzałożyciel THORChain, JP Thorbjornsen, stracił 1,35 mln dolarów w wyniku oszustwa z wykorzystaniem deepfake’a na Zoomie we wrześniu 2025 r.
Read Next: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok