THORChain indicó que, tras detectar actividad anómala, la red ha suspendido las operaciones de transacciones y firmas para evitar más salidas de fondos. Según revelaron las partes del protocolo e investigadores de seguridad, se sospecha que un depósito Asgard fue atacado, con pérdidas estimadas entre 10,7 y 10,8 millones de dólares.
Lo afectado es el capital propio del protocolo
THORChain indicó en su comunicado del 15 de mayo que uno de los seis depósitos Asgard podría haber sido comprometido, y que el proceso actual de churn y rotación ha sido suspendido. El protocolo también solicita a los operadores de nodos que revisen su infraestructura, sistemas de gestión de claves y seguridad operativa para identificar posibles riesgos adicionales.
Las partes del protocolo indicaron inicialmente que los fondos de los usuarios parecen no haberse visto directamente afectados; las pérdidas conocidas hasta ahora se limitan principalmente a los fondos propios del protocolo.
- Objetos afectados: 1 cofre Asgard
- Estimación de pérdidas: aproximadamente de 10.7 a 10.8 millones de dólares estadounidenses
- Medidas actuales: Suspensión de firmas, suspensión de operaciones, suspensión de churn
Los investigadores señalan los riesgos de MPC/TSS
El jefe de tecnología de Ledger, Charles Guillemet, indicó que este incidente podría estar relacionado con debilidades en la infraestructura asociada al esquema de firmas umbral. Citando a JP Thor, contribuidor de THORChain, afirmó que el ataque "podría ser un ataque MPC" y mencionó protocolos de firmas umbral como GG20.
THORChain depende del mecanismo TSS para sus cofres. Este mecanismo permite que múltiples nodos realicen firmas conjuntamente sin necesidad de almacenar la clave privada completa en un solo punto. Guillemet señaló que protocolos como GG18 y GG20 han tenido vulnerabilidades graves en el pasado, incluyendo CVE-2023-33241 y TSSHOCK.
También mencionó que, en algunos escenarios de ataque ya revelados, una sola parte de firma conjunta comprometida podría, teóricamente, recuperar información suficiente para reconstruir la clave de firma completa.
La ruta de ataque aún no se ha confirmado
Guillemet también mencionó que, gracias a la capacidad de los modelos grandes para descubrir y generar explotaciones de vulnerabilidades, la barrera para que los atacantes comprometan la infraestructura de validadores podría estar disminuyendo. Esto significa que los entornos de nodos que antes se consideraban difíciles de atacar ahora enfrentan nuevas presiones de seguridad.
Las posibles vías que mencionó incluyen: primero controlar un nodo validador, esperar a que entre en la bóveda activa, y luego aprovechar datos de prueba anómalos durante el proceso de generación o firma de claves, para finalmente reconstruir la clave de la bóveda fuera de línea. Sin embargo, también enfatizó que aún no se ha confirmado la causa raíz, y los investigadores no pueden determinar si este incidente se debe a una debilidad conocida de GG20 o a una nueva vulnerabilidad desconocida.
Los contribuidores de THORChain indican que la investigación aún está en curso y que se publicarán más actualizaciones sobre los avances de la reparación. Este incidente también ha vuelto a generar atención en el mercado sobre la seguridad de la infraestructura MPC y TSS, ya que estos sistemas se han utilizado ampliamente en protocolos multicanal, sistemas de custodia y servicios criptográficos de nivel institucional.