THORChain (RUNE) у п’ятницю зупинив торгівлю та підписання після того, як зловмисники вивели приблизно $10,8 млн з одного з його сховищ Asgard, а технічний директор Ledger звернув увагу на можливі слабкі місця MPC.
Сховище Asgard зламано в чотирьох мережах
Кросчейн-протокол ліквідності призупинив торгівлю та операції підписання після того, як ончейн-дослідник ZachXBT виявив підозрілі відтоки, спрямовані на сховища в мережах Bitcoin (BTC), Ethereum (ETH), BNB Chain та Base.
У заяві THORChain повідомив, що мережа автоматично виявила аномальну активність і призупинила підписання, щоб заблокувати подальші вихідні транзакції.
Одне з шести сховищ Asgard виявилося скомпрометованим, churn було зупинено, а операторів вузлів попросили переглянути управління ключами та операційну безпеку.
Модуль управління Mimir у протоколі активував призупинення торгівлі та підписання, при цьому пауза тривала приблизно 12 годин, починаючи з блоку 26190429.
Гаманці, пов’язані зі зловмисником, утримують близько 3 443 ETH, 36,85 BTC і 96,6 BNB, а також USDT, USDC, WBTC, AAVE і LINK. На тлі новин RUNE впав приблизно на 12%, наближаючись до позначки $0,50. У THORChain зазначили, що початкові дані свідчать: кошти користувачів не були безпосередньо зачеплені.
Також читайте: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Техдиректор Ledger вказує на ризики MPC
Шарль Гійоме, технічний директор виробника апаратних гаманців Ledger, припустив, що інцидент може бути пов’язаний зі слабкими місцями інфраструктури на основі порогової схеми підписів.
Посилаючись на коментарі учасника THORChain JP Thor, Гійоме заявив, що злам міг бути експлойтом MPC, пов’язаним із GG20 — протоколом порогових підписів, який використовується в деяких гаманцях на основі багатосторонніх обчислень.
Він зазначив, що попередні протоколи GG18 і GG20 вже стикалися з критичними вразливостями, включно з CVE-2023-33241 і TSSHOCK.
Гійоме застеріг, що прогрес у використанні ШІ для пошуку вразливостей може знижувати поріг для компрометації інфраструктури валідаторів, яку раніше вважали складною для атаки.
Теоретичний шлях атаки, за його словами, може передбачати компрометацію валідатора, очікування, поки він приєднається до активного сховища, експлуатацію некоректних доказів під час підписання та відновлення ключів сховища в офлайні. Він наголосив, що першопричину інциденту ще не встановлено, і дослідники не підтвердили, чи йдеться про відому ваду GG20, чи про нову слабкість.
Останній стан безпеки THORChain
Сховища THORChain покладаються на TSS — криптосистему, яка дозволяє кільком вузлам спільно створювати підписи без відновлення повного приватного ключа в одному місці. Така архітектура тривалий час вважалася сильною стороною кросчейн-DeFi, проте тепер вона опинилася під новою хвилею критики.
Протокол пережив кілька гучних інцидентів за останній рік. У лютому 2025 року зловмисники, що стояли за зломом Bybit на $1,4 млрд, провели через THORChain близько $1,2 млрд, щоб конвертувати активи в біткойн.
Експлойтер KelpDAO також використав протокол THORChain, щоб перемістити близько $80 млн в Ether, тоді як співзасновник THORChain JP Thorbjornsen втратив $1,35 млн унаслідок дипфейк-шахрайства в Zoom у вересні 2025 року.
Читайте далі: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok