THORChain (RUNE) призупинив торгівлю та підписання транзакцій у п’ятницю після того, як зловмисники вивели близько $10,8 млн з одного з його Asgard‑сховищ, а техдиректор Ledger звернув увагу на можливі слабкі місця MPC.
Asgard‑сховище спустошено в чотирьох мережах
Кросчейн‑протокол ліквідності призупинив операції торгівлі та підписання після того, як ончейн‑дослідник ZachXBT виявив підозрілі виводи, спрямовані на сховища в мережах Bitcoin (BTC), Ethereum (ETH), BNB Chain та Base.
У заяві THORChain повідомив, що мережа автоматично виявила аномальну активність і призупинила підписання, щоб заблокувати подальші вихідні транзакції.
Одне з шести Asgard‑сховищ виглядало скомпрометованим, churn було призупинено, а операторів нод попросили перевірити керування ключами та операційну безпеку.
Модуль управління Mimir у протоколі активував зупинку торгівлі та підписання, і пауза тривала близько 12 годин, починаючи з блоку 26190429.
Гаманці, пов’язані зі зловмисником, утримують близько 3 443 ETH, 36,85 BTC і 96,6 BNB, а також USDT, USDC, WBTC, AAVE та LINK. RUNE впав приблизно на 12% на тлі цих новин, наблизившись до позначки $0,50. У THORChain зазначили, що початкові дані свідчать: кошти користувачів безпосередньо не постраждали.
Також читайте: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Техдиректор Ledger попереджає про ризики MPC
Шарль Гійоме, технічний директор виробника апаратних гаманців Ledger, припустив, що інцидент може бути пов’язаний із слабкими місцями в інфраструктурі схем порогових підписів.
Посилаючись на коментарі контриб’ютора THORChain JP Thor, Гійоме заявив, що злам може бути експлойтом MPC, який використовує GG20 — протокол порогових підписів, що застосовується в деяких MPC‑гаманцях.
Він зазначив, що попередні протоколи GG18 і GG20 вже стикалися з критичними вразливостями, включно з CVE-2023-33241 та TSSHOCK.
Гійоме попередив, що розвиток інструментів ШІ для пошуку вразливостей може знизити поріг для компрометації інфраструктури валідаторів, яку раніше вважали складною для атаки.
Теоретичний шлях атаки, за його словами, може передбачати компрометацію валідатора, очікування, поки він увійде до активного сховища, експлуатацію некоректних доказів під час підписання та відновлення ключів сховища офлайн. Він наголосив, що першопричина інциденту поки незрозуміла, і слідчі ще не підтвердили, чи йдеться про відому ваду GG20, чи про нову слабкість.
Останній трек‑рекорд безпеки THORChain
Сховища THORChain покладаються на TSS — криптографічну систему, яка дозволяє кільком нодам спільно створювати підписи без відновлення повного приватного ключа в одному місці. Така архітектура довго вважалася сильною стороною кросчейн‑DeFi, однак тепер опинилася під пильною увагою.
Протокол пережив кілька гучних інцидентів за минулий рік. У лютому 2025 року зловмисники, що стояли за $1,4‑мільярдним зламом Bybit, провели через THORChain близько $1,2 млрд, конвертуючи активи в Bitcoin.
Експлойтер KelpDAO також використовував протокол THORChain, щоб перемістити близько $80 млн в Ether, тоді як співзасновник THORChain JP Thorbjornsen втратив $1,35 млн унаслідок шахрайства з дипфейком у Zoom у вересні 2025 року.
Читайте далі: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok