Nawala ng halos $10.7 milyon ang THORChain noong Mayo 15 pagkatapos makapag-exploit ng isang rogue node operator sa mga vulnerabilities sa threshold signature scheme ng protocol. Ngayon, may plano na ang proyekto para gawin tama ang mga bagay, at hindi ito sumasaklaw sa pag-print ng karagdagang tokens.
Ang panukalang pagpapalit, na kilala bilang ADR028, ay nagtataguyod ng pagkakataong mabawasan ang mga pagkawala sa pamamagitan ng Protocol-Owned Liquidity muna, at ang anumang natitirang kakulangan ay hahatiin nang proporsyonal sa mga tagapag-ari ng synthetic asset. Walang bagong RUNE ang mabubuo o ipapagbili. Para sa mga umiiral na tagapag-ari, iyon ang detalye na pinakamahalaga.
Ano ang nangyari at paano ito itinigil
Ang attacker ay isang bagong churning na node operator na pumasok sa THORChain network dalawang araw bago ang exploit. Sapat ang maikling panahong iyon upang isagawa ang isang pag-atake na nakatarget sa GG20 Threshold Signature Scheme, ang kriptograpikong sistema na nagpapatakbo kung paano pinopanatili ang mga vault key sa decentralized infrastructure ng THORChain.
Gumagamit ang THORChain ng isang sistema kung saan ang maraming node operator ang nagkakaroon ng kolektibong kontrol sa mga susi ng vault, kaya’t hindi makakapag-access ng pera ang isang tanging partido nang mag-isa. Nahanap ng attacker paraan upang muling buuin ang mga kritikal na private key ng vault sa pamamagitan ng mga vulnerabilities sa sistema na ito, na epektibong nagpapabukas ng lock sa treasury ng protocol.
Ang mabuting balita ay kinuha ng automated na checker ng solvency ng THORChain ang anomaliya sa loob ng ilang minuto. Siniguro ang pagpapahinga ng mga operasyon sa pag-trade at pag-sign, at sinama-sama ng mga operator ng node ang pagpapahinto sa buong network sa loob ng halos dalawang oras. Ang bilis na ito ay nagbawas sa posibleng mas malaking pagbaba.
Walang direkta na pagkawala na tumama sa mga pondo ng user o position ng liquidity provider, ayon sa protocol. Ang mabilis na tugon ay naging posible dahil sa Mimir governance system ng THORChain, na nagpapahintulot sa node operators na baguhin ang mga kritikal na parameter nang hindi naghihintay ng mahabang governance cycles. Isipin ito bilang isang emergency brake na talagang gumagana.
Ang plano para sa pagpapalit: ADR028
Narito kung paano istruktura ang ADR028. Ang unang linya ng depensa ay ang Protocol-Owned Liquidity, o ang sariling kapital na reserves ng protokolo na nasa loob ng kanyang mga liquidity pool. Ang POL ay sumasapit sa kahit anong bahagi ng $10.7 milyong pagkawala bago magsimula ang anumang ibang mekanismo.
Ang anumang hindi sakop ng POL ay ipapamahagi nang proporsyonal sa mga tagapag-ayos ng sintetikong ari-arian. Ang mga sintetikong ari-arian sa THORChain ay mga derivative na pagkakataon ng mga ari-arian tulad ng Bitcoin o Ethereum na umiiral sa loob ng mga pool ng protocol. Ang mga tagapag-ayos ng mga sintetikong ito ay haharapin ang proporsyonal na bahagi ng anumang natitirang deficit.
Ang kritikal na pagsisiguro sa ADR028 ay ang kung ano ito ay eksplisitong hindi gagawin: mag-mint ng mga bagong RUNE token. Sa panahon pagkatapos ng isang hack, maraming protokolo ay nag-recourse sa mga inflasyonaryong hakbang upang muling magkaroon ng kapital, na epektibong ginagawang mas maliit ang halaga ng bawat umiiral na token upang takpan ang kakulangan. Ang THORChain ay tumatanggap ng position na ang pagdilute sa mga holder ay hindi isasakripisyo.
Mahalaga ito dahil ang pagdilat ng token pagkatapos ng mga paglabag ay naging isang pattern sa DeFi. Ito ang pinakamadaling levers na mababawas, ngunit ito ay parusa sa mga taong nanatili. Sa paghihiwalay nito mula sa simula, ginagawa ng THORChain ang isang pahayag sa pamamahala gayundin ang isang pahayag sa pananalapi.
Ang protokolo ay nagbigay din ng bounty para sa mga white-hat hacker na handang tumulong naibalik ang mga nakuha na pondo, isang standard ngunit madalas epektibong paraan sa pagpapalit pagkatapos ng paglabas. Ang karagdagang mga security patch na nakatuon sa mga vulnerabilities ng GG20 TSS ay ginagawa bilang bahagi ng pansamantalang solusyon na ipinakilala agad pagkatapos ng insidente.
Mas malawak na pattern ng cross-chain risk
Ang mga cross-chain protocol ay nagsisilbi sa isang natatanging mapanganib na aspeto ng decentralized finance. Ayon sa kanilang disenyo, sila ay nag-uugnay ng mga asset sa iba’t ibang blockchain, na nangangahulugan na kailangan nilang pamahalaan ang mga key, signature, at mekanismo ng consensus na sumasaklaw sa maraming network nang sabay-sabay. Bawat karagdagang chain ay isang karagdagang puntos ng pag-atake.
Nawala ang mga milyon dolyar sa blockchain space mula pa noong 2021, at ang mga cross-chain bridge ay patuloy na nasa listahan ng pinakadalas na target na imprastruktura. Ang THORChain mismo ay nakaranas ng mga insidente sa seguridad sa nakaraang mga taon, na ginagawa ang pinakabagong exploit bilang bahagi ng paulit-ulit na hamon kaysa isang isang-segundo na pangyayari.
Tingnan mo, ang dalawang-oras na oras ng pagtugon at ang automated na pag-check ng solvency ay talagang nakakaimpresyon para sa isang decentralized na sistema. Maraming tradisyonal na institusyong pinansyal ang hihirapan na makita at kontrolin ang isang breach nang ganito kalakas. Ngunit ang katotohanan na ang isang node operator na sumali lamang 48 oras bago ay nakapag-reconstruct ng mga vault keys ay nagtataglay ng malalaking tanong tungkol sa seguridad ng onboarding at sa mga tiwala na nakabase sa proseso ng churning.
Ano ang ibig sabihin nito para sa mga investor
Ang commitment na walang dilusyon sa ADR028 ay ang pinakamahalagang detalye para sa mga investor. Hindi hinihingi sa mga holder ng RUNE na tanggapin ang pagkawala sa pamamagitan ng inflation, na nagpapanatili sa dinamika ng suplay ng token. Sa isang merkado kung saan maaaring magbago ang protocol treasury at token economics sa isang gabi pagkatapos ng hack, ang ganitong uri ng eksplisitong jamin ay may bigat.
Ngunit hindi nagkakaroon ng tiwala ang mga tao sa tulong ng mga pangako lamang. Dapat subaybayan ng mga investor kung paano efektibong pinapag-ayos ng THORChain ang mga vulnerability sa GG20 TSS at kung ipapatupad ba ng protokolo ang mas mahigpit na mga kinakailangan para sa mga bagong node operator. Ang isang dalawang araw na lagay sa pagitan ng pagkakalakbay sa network at pagpapatupad ng isang exploit na halagang $10.7 milyon ay nagpapakita na kailangan ng malaking pagpapabuti ang hadlang para sa mga masasamang actor.
Ang pagdudulot ng proporsyonal na pagkawala sa mga tagapag-angkop ng sintetikong asset ay kailangang obserbahan din. Kung hindi kayang takpan ng mga reserves ng POL ang buong $10.7 milyon, ang haircut sa mga sintetikong position ay maaaring makaapekto sa likwididad at aktibidad sa pagtinda sa mga pool ng THORChain. Ang pagbaba ng likwididad ay karaniwang nagpapalawak ng spreads at naggagawa ng mas maliit na kompetisyon para sa cross-chain swaps.
Para sa mas malawak na DeFi market, ang pagkabawi ng THORChain ay maaaring magtatag ng paunang halimbawa. Kung matagumpay na mabawi ng ADR028 ang protocol nang walang dilusyon at walang matatagong pinsala sa depth ng likwididad, ito ay magiging template na maaaring gamitin ng iba pang proyekto. Kung hindi ito makamit, ito ay magiging isa pang data point sa patuloy na ebidensya na kailangan ng cross-chain infrastructure ng iba’t ibang security architecture kaysa sa single-chain protocols.
Ang bounty para sa pagbabalik ng pera ay nagdadagdag ng wildcard. Sa nakaraan, ilan sa mga nag-exploit ay bumalik ng pera sa palitan ng bounty at immunity mula sa pagprosekuso. Kung tatanggapin ng attacker sa kasong ito ang ganitong kasunduan, o kaya ay naka-move na ang pera sa pamamagitan ng mixers at bridges, ay magdedetermine kung gaano karaming bahagi ng $10.7 milyong deficit ang talagang kailangang tanggapin.