THORChain Menghentikan Perdagangan Setelah Eksploitasi $10,8 Juta, Meningkatkan Kekhawatiran atas Keamanan Dompet MPC

THORChain menghentikan perdagangan dan aktivitas penandatanganan setelah salah satu vault Asgardnya dikompromikan dalam eksploitasi yang menguras sekitar $10,7 juta hingga $10,8 juta. Hal ini menurut pernyataan dari protokol dan peneliti keamanan.

Dalam pengumuman yang diposting pada 15 Mei, THORChain mengatakan jaringan secara otomatis mendeteksi aktivitas tidak normal dan menangguhkan operasi penandatanganan untuk mencegah transaksi keluar tambahan.

Protokol mengatakan:

• salah satu dari enam brankas Asgard tampaknya telah disusupi,
• aktivitas churn telah dihentikan,
• dan operator node diminta untuk meninjau infrastruktur, sistem manajemen kunci, dan keamanan operasional untuk mencari tanda-tanda kompromi.

THORChain menambahkan bahwa indikasi awal menunjukkan dana pengguna tidak terpengaruh secara langsung dan kerugian tampak terbatas pada dana yang dimiliki protokol.

Charles Guillemet menyarankan insiden tersebut dapat melibatkan kelemahan yang terkait dengan infrastruktur threshold signature scheme [TSS].

Mengacu pada komentar dari kontributor THORChain, JP Thor, Guillemet mengatakan eksploitasi tersebut “bisa jadi eksploitasi MPC” yang melibatkan GG20. Ini adalah protokol tanda tangan ambang yang digunakan dalam beberapa sistem dompet multi-party computation [MPC].

Kotak penyimpanan THORChain bergantung pada TSS, sistem kriptografi yang dirancang untuk memungkinkan beberapa node secara bersama-sama menghasilkan tanda tangan tanpa merekonstruksi kunci pribadi penuh di satu tempat.

Namun, Guillemet mencatat bahwa protokol keluarga GG18/GG20 sebelumnya secara historis menghadapi kerentanan kritis, termasuk:

• CVE-2023-33241,
• dan TSSHOCK.

Dia berargumen bahwa dalam beberapa skenario serangan yang sebelumnya terdokumentasi, satu co-signer yang telah dikompromikan dapat merekonstruksi cukup informasi untuk memulihkan kunci penandatanganan penuh.

Salah satu bagian paling penting dari analisis Guillemet berfokus pada kecerdasan buatan dan keamanan infrastruktur.

Dia memperingatkan bahwa kemajuan dalam penemuan kerentanan dan generasi eksploit yang dibantu LLM dapat mengurangi kesulitan dalam mengompromikan infrastruktur validator yang sebelumnya dianggap sulit diserang.

Menurut Guillemet, skenario serangan potensial dapat melibatkan:

• mengompromikan validator,
• menunggu untuk bergabung ke vault aktif,
• memanfaatkan bukti penandatanganan yang rusak selama generasi kunci atau penandatanganan,
• dan merekonstruksi kunci vault secara offline.

Pada saat yang sama, ia memperingatkan bahwa akar penyebab pasti dari eksploitasi tetap tidak jelas dan mengatakan para penyelidik belum mengonfirmasi apakah kelemahan GG20 yang sudah diketahui atau celah yang sebelumnya tidak ditemukan terlibat.

Kontributor THORChain mengatakan penyelidikan masih berlangsung dan pembaruan tambahan akan dirilis seiring berlanjutnya upaya perbaikan.

Insiden ini menambahkan semakin banyaknya pengawasan terhadap asumsi keamanan di balik infrastruktur MPC dan TSS, yang semakin banyak digunakan di berbagai protokol lintas rantai, sistem penitipan, dan infrastruktur kripto institusional.

• THORChain menghentikan perdagangan setelah eksploitasi vault menguras sekitar $10,8 juta dari dana yang dimiliki protokol.
• Peneliti keamanan dan CTO Ledger Charles Guillemet mengatakan insiden tersebut mungkin melibatkan kelemahan yang terkait dengan infrastruktur penandatanganan MPC/TSS.