THORChain (RUNE) 於週五在攻擊者從其其中一個 Asgard 錢庫掏走約 1,080 萬美元後,暫停了交易與簽名操作,Ledger 技術總監則示警可能存在 MPC 弱點。
Asgard 錢庫於四條鏈上被掏空
這個跨鏈流動性協議在鏈上調查員 ZachXBT 指出有可疑資金流向,針對 Bitcoin (BTC)、Ethereum (ETH)、BNB Chain 和 Base 上的錢庫後,隨即暫停交易與簽名操作。
THORChain 在聲明中表示,網絡自動偵測到異常活動並暫停簽名,以阻止進一步的出帳轉帳。
六個 Asgard 錢庫之一疑似被入侵,換倉(churn)已被暫停,並要求節點營運商檢視金鑰管理與營運安全。
協議的 Mimir 治理模組已將暫停交易與簽名的開關打開,這次暫停大約持續了 12 小時,自區塊高度 26190429 起算。
與攻擊者相關的錢包現持有約 3,443 枚 ETH、36.85 枚 BTC 和 96.6 枚 BNB,另外還有 USDT、USDC、WBTC、AAVE 和 LINK。RUNE 價格在消息傳出後下跌約 12%,跌向 0.50 美元附近。THORChain 表示,初步跡象顯示用戶資金未被直接波及。
延伸閱讀: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
Ledger 技術總監示警 MPC 風險
硬件錢包商 Ledger 的技術總監 Charles Guillemet 指出,這次事件可能涉及門檻簽章機制(threshold signature scheme)基礎設施的弱點。
他引用 THORChain 貢獻者 JP Thor 的說法,表示這次入侵可能是利用 GG20 的 MPC 漏洞——GG20 是部分多方計算錢包系統所採用的門檻簽章協議。
他指出,較早期的 GG18 和 GG20 協議已被發現存在嚴重漏洞,包括 CVE-2023-33241 和 TSSHOCK。
Guillemet 警告,AI 協助漏洞挖掘的進步,可能正在降低攻破過去被視為難以攻擊的驗證者基礎設施的門檻。
他提出一條理論上的攻擊路徑:先入侵某個驗證者,等待其加入活躍的錢庫,然後在簽名過程中利用格式錯誤的證明,最後在鏈下重建錢庫金鑰。他強調,目前真正的根本原因仍不明朗,調查人員尚未確認是既有 GG20 漏洞還是新出現的弱點被利用。
THORChain 近期的安全紀錄
THORChain 的錢庫依賴 TSS,一種密碼學系統,允許多個節點共同產生簽章,而無需在單一位置重建完整私鑰。這種架構長期被視為跨鏈 DeFi 的優勢,但現在再度成為審視焦點。
過去一年,該協議已歷經多起高調事件。2025 年 2 月,在$14 億美元 Bybit 被駭事件中,攻擊者透過 THORChain 將近 12 億美元資產兌換成 Bitcoin。
KelpDAO 攻擊者同樣利用 THORChain 協議轉移約 8,000 萬美元的 Ether,而 THORChain 聯合創辦人 JP Thorbjornsen 則在 2025 年 9 月遭遇深度偽造 Zoom 詐騙,損失 135 萬美元。
下一篇閱讀: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok