THORChain (RUNE) приостановила торговлю и подпись транзакций в пятницу после того, как атакующие вывели около $10,8 млн из одного из хранилищ Asgard; технический директор Ledger указал на возможные слабые места MPC.
Хранилище Asgard опустошено в четырех сетях
Кросс-чейн протокол ликвидности приостановил торговлю и операции подписания после того, как ончейн‑исследователь ZachXBT обнаружил подозрительные выводы средств, нацеленные на хранилища в сетях Bitcoin (BTC), Ethereum (ETH), BNB Chain и Base.
В заявлении THORChain сообщила, что сеть автоматически обнаружила аномальную активность и приостановила подпись, чтобы заблокировать дальнейшие исходящие переводы.
Одно из шести хранилищ Asgard, по‑видимому, было скомпрометировано, процесс churn был приостановлен, а операторов нод попросили пересмотреть управление ключами и операционную безопасность.
Модуль управления Mimir в протоколе перевел флаги остановки торговли и подписания в активное состояние; пауза длилась около 12 часов, начиная с блока 26190429.
Кошельки, связанные с атакующим, содержат около 3 443 ETH, 36,85 BTC и 96,6 BNB, а также USDT, USDC, WBTC, AAVE и LINK. На фоне новостей RUNE упал примерно на 12%, приблизившись к $0,50. В THORChain заявили, что по первоначальным данным средства пользователей не были напрямую затронуты.
Также читайте: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Технический директор Ledger указывает на риск MPC
Шарль Гийоме, технический директор производителя аппаратных кошельков Ledger, предположил, что инцидент может быть связан со слабостями в инфраструктуре схем пороговой подписи.
Ссылаясь на слова участника THORChain JP Thor, Гийоме заявил, что взлом может быть эксплойтом MPC, затрагивающим GG20 — протокол пороговой подписи, используемый в некоторых системах кошельков с многопарными вычислениями.
Он отметил, что более ранние протоколы GG18 и GG20 сталкивались с критическими уязвимостями, включая CVE-2023-33241 и TSSHOCK.
Гийоме предупредил, что прогресс в области поиска уязвимостей с помощью ИИ может снижать порог для компрометации инфраструктуры валидаторов, которую ранее считали трудноуязвимой.
В качестве теоретического сценария атаки он описал компрометацию валидатора, ожидание его подключения к активному хранилищу, эксплуатацию некорректных доказательств при подписании и последующее восстановление ключей хранилища в офлайне. Он подчеркнул, что коренная причина по‑прежнему не ясна, и следователи пока не подтвердили, была ли задействована известная уязвимость GG20 или речь идет о новой слабости.
Недавний послужной список безопасности THORChain
Хранилища THORChain опираются на TSS — криптографическую систему, позволяющую нескольким нодам совместно создавать подписи без восстановления полного приватного ключа в одной точке. Такая архитектура долго считалась сильной стороной кросс‑чейн DeFi, но теперь попала под пристальное внимание.
За последний год протокол пережил несколько резонансных инцидентов. В феврале 2025 года злоумышленники, стоящие за взломом Bybit на $1,4 млрд, провели через THORChain около $1,2 млрд, конвертируя активы в Bitcoin.
Эксплойтер KelpDAO также использовал протокол THORChain, чтобы переместить около $80 млн в Ether, а сооснователь THORChain JP Thorbjornsen потерял $1,35 млн в результате скама с дипфейком в Zoom в сентябре 2025 года.
Читайте далее: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok