THORChain (RUNE) đã dừng giao dịch và ký lệnh vào thứ Sáu sau khi kẻ tấn công rút khoảng 10,8 triệu đô từ một trong các Asgard vault của giao thức, trong khi CTO của Ledger cảnh báo những điểm yếu tiềm ẩn của MPC.
Asgard vault bị rút tiền trên bốn chuỗi
Giao thức thanh khoản cross-chain này đã tạm dừng hoạt động giao dịch và ký lệnh sau khi nhà điều tra on-chain ZachXBT phát hiện các dòng tiền đáng ngờ nhắm vào các vault trên Bitcoin (BTC), Ethereum (ETH), BNB Chain và Base.
Trong một tuyên bố, THORChain cho biết mạng lưới đã tự động phát hiện hoạt động bất thường và ngừng ký lệnh để chặn các giao dịch rút tiền ra ngoài tiếp theo.
Một trong sáu Asgard vault có dấu hiệu bị xâm phạm, quá trình churn bị tạm dừng và các node operator được yêu cầu rà soát quản lý khóa cũng như bảo mật vận hành.
Mô-đun quản trị Mimir của giao thức đã bật trạng thái tạm dừng giao dịch và ký lệnh, với thời gian tạm dừng kéo dài khoảng 12 giờ kể từ block 26190429.
Các ví liên quan đến kẻ tấn công đang nắm giữ khoảng 3.443 ETH, 36,85 BTC và 96,6 BNB, cùng với USDT, USDC, WBTC, AAVE và LINK. RUNE giảm khoảng 12% sau tin tức, rơi về vùng 0,50 đô. THORChain cho biết các dấu hiệu ban đầu cho thấy tài sản người dùng không bị ảnh hưởng trực tiếp.
Cũng nên đọc: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
CTO Ledger cảnh báo rủi ro MPC
Charles Guillemet, giám đốc công nghệ của nhà sản xuất ví cứng Ledger, gợi ý rằng sự cố này có thể liên quan đến các điểm yếu trong hạ tầng threshold signature scheme.
Dẫn lại nhận định của cộng tác viên THORChain JP Thor, Guillemet cho biết vụ vi phạm có thể là một exploit MPC liên quan đến GG20, một giao thức chữ ký ngưỡng được sử dụng trong một số hệ thống ví multi-party computation.
Ông lưu ý rằng các giao thức GG18 và GG20 trước đây từng đối mặt với các lỗ hổng nghiêm trọng, bao gồm CVE-2023-33241 và TSSHOCK.
Guillemet cảnh báo rằng các tiến bộ trong việc phát hiện lỗ hổng nhờ AI có thể đang làm giảm rào cản để tấn công cơ sở hạ tầng validator, vốn từng được xem là khó bị xâm nhập.
Một kịch bản tấn công lý thuyết, theo ông mô tả, có thể bao gồm việc xâm phạm một validator, chờ nó tham gia một vault đang hoạt động, khai thác các bằng chứng bị làm sai trong quá trình ký lệnh và tái dựng khóa của vault ở môi trường ngoại tuyến. Ông nhấn mạnh rằng nguyên nhân gốc rễ vẫn chưa rõ ràng và các nhà điều tra chưa xác nhận liệu có liên quan đến một lỗ hổng GG20 đã biết hay một điểm yếu hoàn toàn mới.
Hồ sơ bảo mật gần đây của THORChain
Các vault của THORChain dựa vào TSS, một hệ thống mật mã cho phép nhiều node cùng nhau tạo chữ ký mà không cần tái dựng toàn bộ khóa riêng tại một điểm. Kiến trúc này từ lâu được xem là điểm mạnh của DeFi cross-chain, nhưng giờ đang chịu thêm nhiều soi xét.
Giao thức đã trải qua một số sự cố lớn trong năm qua. Vào tháng 2/2025, những kẻ tấn công đứng sau vụ hack 1,4 tỷ đô nhắm vào Bybit đã chuyển gần 1,2 tỷ đô qua THORChain để đổi tài sản sang Bitcoin.
Kẻ khai thác lỗ hổng KelpDAO cũng dùng giao thức THORChain để di chuyển khoảng 80 triệu đô giá trị Ether, trong khi đồng sáng lập THORChain là JP Thorbjornsen đã mất 1,35 triệu đô trong một vụ lừa đảo deepfake trên Zoom vào tháng 9/2025.
Đọc tiếp: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok