THORChain (RUNE) приостановила торговлю и подписание транзакций в пятницу после того, как атакующие вывели порядка $10,8 млн из одного из её хранилищ Asgard; технический директор Ledger указал на возможные слабые места MPC.
Хранилище Asgard опустошено в четырёх сетях
Кроссчейн‑протокол ликвидности приостановил торговлю и операции подписания после того, как ончейн‑исследователь ZachXBT зафиксировал подозрительные оттоки, нацеленные на хранилища в сетях Bitcoin (BTC), Ethereum (ETH), BNB Chain и Base.
В заявлении THORChain сообщила, что сеть автоматически обнаружила аномальную активность и приостановила подписание, чтобы заблокировать дальнейшие исходящие переводы.
Одно из шести хранилищ Asgard выглядело скомпрометированным, процесс churn был остановлен, а операторов нод попросили пересмотреть управление ключами и операционную безопасность.
Модуль управления Mimir в протоколе перевёл флаги остановки торговли и подписания в активное состояние, и пауза длилась около 12 часов, начиная с блока 26190429.
Кошельки, связанные с атакующим, удерживают около 3 443 ETH, 36,85 BTC и 96,6 BNB, а также USDT, USDC, WBTC, AAVE и LINK. На фоне новости RUNE упал примерно на 12%, опустившись в район $0,50. В THORChain заявили, что первоначальные данные свидетельствуют: средства пользователей напрямую затронуты не были.
Также читайте: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Технический директор Ledger указывает на риск MPC
Шарль Гийемет, технический директор производителя аппаратных кошельков Ledger, предположил, что инцидент может быть связан с уязвимостями в инфраструктуре схем пороговых подписей.
Ссылаясь на замечания контрибьютора THORChain JP Thor, Гийемет заявил, что утечка может быть эксплойтом MPC, затрагивающим GG20 — протокол пороговой подписи, используемый в некоторых системах кошельков на основе вычислений с несколькими участниками (MPC).
Он отметил, что более ранние протоколы GG18 и GG20 уже сталкивались с критическими уязвимостями, включая CVE-2023-33241 и TSSHOCK.
Гийемет предупредил, что развитие ИИ‑инструментов для поиска уязвимостей может снижать порог сложности атак на инфраструктуру валидаторов, ранее считавшуюся труднодоступной для взлома.
В качестве теоретического сценария атаки он описал компрометацию валидатора, ожидание его включения в активное хранилище, эксплуатацию некорректных доказательств в процессе подписания и офлайн‑восстановление ключей хранилища. Он подчеркнул, что корневая причина инцидента остаётся неясной, и расследователи пока не подтвердили, связан ли он с известной уязвимостью GG20 или с новой слабостью.
Недавний отчёт по безопасности THORChain
Хранилища THORChain полагаются на TSS — криптографическую систему, позволяющую нескольким нодам совместно формировать подпись без восстановления полного закрытого ключа в одной точке. Такая архитектура долгое время считалась сильной стороной кроссчейн‑DeFi, но сейчас привлекла к себе новый пристальный интерес.
За последний год протокол пережил несколько резонансных инцидентов. В феврале 2025 года атакующие, стоявшие за взломом Bybit на $1,4 млрд, направили около $1,2 млрд через THORChain, конвертируя активы в биткоин.
Эксплуататор KelpDAO также использовал протокол THORChain, чтобы переместить около $80 млн в эфире, а сооснователь THORChain JP Thorbjornsen в сентябре 2025 года потерял $1,35 млн в результате скам‑звонка по Zoom с использованием дипфейка.
Читайте далее: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok