THORChain menyatakan bahwa jaringan telah menghentikan transaksi dan operasi tanda tangan setelah mendeteksi aktivitas tidak biasa, untuk mencegah lebih banyak dana keluar. Menurut pihak protokol dan peneliti keamanan yang mengungkapkan informasi, satu rekening Asgard diduga diserang, dengan kerugian sekitar $10,7 juta hingga $10,8 juta.
Yang terdampak adalah dana sendiri protokol
Dalam pernyataan yang dirilis THORChain pada 15 Mei, disebutkan bahwa salah satu dari enam rekening Asgard kemungkinan telah diserang, dan proses rotasi churn saat ini telah dihentikan. Protokol juga meminta operator node untuk memeriksa infrastruktur, sistem manajemen kunci, dan kondisi keamanan operasional guna mengidentifikasi potensi risiko lebih lanjut.
Pihak protokol awalnya menyatakan bahwa dana pengguna tampaknya tidak terdampak langsung, dan kerugian yang diketahui saat ini terbatas pada dana protokol itu sendiri.
- Objek yang terdampak: 1 rekening Asgard
- Perkiraan kerugian: sekitar $10,7 juta hingga $10,8 juta
- Langkah saat ini: Menangguhkan tanda tangan, menangguhkan perdagangan, menangguhkan churn
Peneliti menunjukkan risiko MPC/TSS
Chief Technology Officer Ledger, Charles Guillemet, menyatakan bahwa insiden ini kemungkinan terkait dengan kelemahan infrastruktur yang berhubungan dengan threshold signature scheme. Ia mengutip pernyataan dari kontributor THORChain, JP Thor, yang menyebut serangan ini "mungkin merupakan serangan MPC", serta menyebut protokol tanda tangan ambang seperti GG20.
THORChain dompet bergantung pada mekanisme TSS. Mekanisme ini memungkinkan beberapa node untuk bersama-sama melakukan tanda tangan tanpa perlu menyimpan kunci pribadi lengkap di satu titik tunggal. Guillemet menunjukkan bahwa protokol seperti GG18 dan GG20 sebelumnya pernah menunjukkan kerentanan serius, termasuk CVE-2023-33241 dan TSSHOCK.
Dia juga menyebutkan bahwa dalam sejumlah skenario serangan yang telah diungkap, satu pihak tanda tangan gabungan yang berhasil diretas secara teoritis dapat memulihkan informasi yang cukup untuk membangun kembali kunci tanda tangan lengkap.
Rute serangan belum dikonfirmasi
Guillemet juga menyebutkan bahwa dengan memanfaatkan kemampuan model besar dalam menemukan dan menghasilkan eksploitasi kerentanan, ambang batas bagi penyerang untuk menginvasi infrastruktur validator kemungkinan sedang menurun. Ini berarti lingkungan node yang sebelumnya dianggap sulit ditembus kini menghadapi tekanan keamanan baru.
Jalur potensial yang dia ajukan meliputi: mengendalikan satu node validator terlebih dahulu, menunggu hingga memasuki gudang aktif, lalu memanfaatkan data bukti anomali selama proses generasi kunci atau tanda tangan, akhirnya membangun ulang kunci gudang secara offline. Namun, ia juga menekankan bahwa akar penyebabnya saat ini belum dikonfirmasi, dan penyelidik belum dapat menentukan apakah insiden ini berasal dari kelemahan GG20 yang sudah diketahui atau lubang keamanan baru yang belum dikenal.
Kontributor THORChain menyatakan bahwa investigasi masih berlangsung dan perkembangan perbaikan akan terus dirilis. Insiden ini juga kembali memicu perhatian pasar terhadap keamanan infrastruktur MPC dan TSS, karena solusi semacam ini telah banyak digunakan dalam protokol lintas rantai, sistem penitipan, dan layanan kripto tingkat institusi.