Hininto ng THORChain ang pagtinda pagkatapos ng $10.8M na pag-atake, Nagdudulot ng pag-aalala tungkol sa kaligtasan ng MPC wallet

Hininto ng THORChain ang pagtinda at aktibidad ng pag-sign matapos ma-compromise ang isa sa mga Asgard vault nito sa isang exploit na nagbawas ng halos $10.7 milyon hanggang $10.8 milyon. Ayon sa mga pahayag ng protocol at mga security researcher.

Sa isang pahayag na inilabas noong 15 Mayo, sinabi ng THORChain na ang network ay awtomatikong natukoy ang anomalous na aktibidad at sinuspense ang mga operasyon ng pag-sign upang pigilan ang karagdagang outbound na transaksyon.

Sinabi ng protokolo:

• Ang isa sa anim na Asgard vault ay tila na-compromise,
• napigilan ang churn activity,
• at hiningi sa mga operator ng node na suriin ang infrastruktura, mga sistema ng pamamahala ng key, at operasyonal na seguridad para sa mga tanda ng kompromiso.

Dinagdagan ng THORChain na ang mga unang indikasyon ay nagpapakita na ang mga pondo ng mga user ay hindi diretso na naapektuhan at ang mga pagkawala ay tila limitado sa mga pondo na may-ari ng protocol.

Ipinangako ni Charles Guillemet na maaaring may kinalaman ang insidente sa isang kahinaan na may kinalaman sa threshold signature scheme [TSS] infrastructure.

Tinutukoy ni Guillemet ang mga komento mula sa THORChain contributor na si JP Thor na ang exploit ay “maaaring isang MPC exploit” na may kinalaman sa GG20. Ito ay isang threshold signature protocol na ginagamit sa ilang mga wallet system na batay sa multi-party computation [MPC].

Ang mga vault ng THORChain ay nakasalalay sa TSS, isang kriptograpikong sistema na disenyo upang payagan ang maraming node na magkasama ay gumawa ng mga signature nang hindi pa rin muling bumuo ng buong private key sa iisang lugar.

Gayunpaman, sinimulan ni Guillemet na ang mga nakaraang protokolo ng GG18/GG20-family ay may kasaysayang nakakaranas ng mga kritikal na vulnerabilities, kabilang ang:

• CVE-2023-33241,
• at TSSHOCK.

Sinabi niya na sa ilang naunang dokumentadong senaryo ng pag-atake, ang isang kompromitadong co-signer ay maaaring muling bumuo ng sapat na impormasyon upang mabawi ang buong signing key.

Isa sa mga mas nakakatangi na bahagi ng pagsusuri ni Guillemet ay nakatuon sa artificial intelligence at seguridad ng imprastruktura.

Binaos niya na ang mga pag-unlad sa LLM-assisted vulnerability discovery at exploit generation ay maaaring mabawasan ang kahirapan sa pag-comromise ng validator infrastructure na dati ay itinuturing na mahirap serbisyuan.

Ayon kay Guillemet, ang isang potensyal na senaryo ng pag-atake ay maaaring maglalaman ng:

• pagsasakop sa isang validator,
• Naghihintay upang sumali sa isang aktibong vault,
• paggamit ng masamang anyo ng mga patunay ng pagsasagawa sa panahon ng pagbuo ng susi o pagsasagawa,
• at pagbuo muli ng mga key ng vault nang offline.

Sambil iyan, binigyan niya ng babala na ang eksaktong sanhi ng exploit ay patuloy na hindi malinaw at sinabi niya na hindi pa nagkakaroon ng kumpirmasyon ang mga imbestigador kung ang isang kilalang kahinaan ng GG20 o isang dating hindi natuklasang butas ang kasangkot.

Sinabi ng mga tagapag-ambag ng THORChain na patuloy pa ang imbestigasyon at magkakaroon pa ng karagdagang update habang patuloy ang mga pagsisikap para sa pagpapabuti.

Ang insidente ay nagdaragdag sa patuloy na pagmamasid sa mga aksiyom sa kaligtasan ng MPC at TSS infrastructure, na lalong madalas gamitin sa mga cross-chain protocol, custody systems, at institutional crypto infrastructure.

• Hininto ng THORChain ang pagtinda pagkatapos ng isang paglabag sa vault na nagbawas ng halos $10.8 milyon mula sa mga pondo na may-ari ng protocol.
• Sinabi ng mga researcher sa seguridad at ang CTO ng Ledger, Charles Guillemet, na maaaring may kinalaman ang insidente sa mga kahinaan na kaugnay ng MPC/TSS signing infrastructure.