THORChainは、異常な活動を検出後、より多くの資金の流出を防ぐため、ネットワークの取引および署名操作を一時停止した。プロトコル側とセキュリティ研究者によると、Asgardウォレットが攻撃を受け、約1070万~1080万ドルの損失が発生した可能性がある。
影響を受けているのはプロトコルの自己資金です。
THORChainは5月15日の声明で、6つのAsgardウォレットの1つが攻撃された可能性があり、現在のchurnローテーションプロセスを一時停止したと発表しました。また、プロトコルはノード運用者に対して、インフラストラクチャ、鍵管理システム、運用セキュリティを点検し、さらなるリスクの有無を確認するよう要請しています。
協議側は、ユーザー資金は直接影響を受けていないようであり、現在確認されている損失は主にプロトコルの自社資金に限定されていると初期に表明しました。
- 影響を受けた対象:1つのAsgard金庫
- 損失の推定:約1,070万〜1,080万美元
- 現在の措置:署名の停止、取引の停止、churnの停止
研究者はMPC/TSSのリスクを指摘
Ledgerの最高技術責任者であるCharles Guillemetは、このイベントが閾値署名スキームに関連するインフラの脆弱性と関係している可能性があると述べました。彼はTHORChainの貢献者であるJP Thorの発言を引用し、この攻撃は「MPC攻撃の可能性がある」とし、GG20のような閾値署名プロトコルに言及しました。
THORChainのウォレットはTSSメカニズムに依存しています。このメカニズムにより、複数のノードが完全な秘密鍵を単一の場所に集中させることなく共同で署名を実行できます。Guillemetは、GG18やGG20などのプロトコルが過去にCVE-2023-33241やTSSHOCKなどの深刻な脆弱性を露呈していたと指摘しています。
また、彼は、一部公開された攻撃シナリオにおいて、単一の攻撃された联合署名当事者でも、理論的には十分な情報を復元し、完全な署名鍵を再構築できる可能性があると述べました。
攻撃経路はまだ確認されていません
Guillemetは、大規模モデルによる脆弱性発見と攻撃の自動生成能力を活用することで、攻撃者がバリデーターインフラを侵入するための障壁が低下している可能性を指摘しました。これは、過去には攻撃が困難とされていたノード環境が、新たなセキュリティ上の圧力に直面していることを意味します。
彼が示した潜在的な経路には、まず検証者ノードを制御し、そのノードがアクティブなウォレットに移行するのを待った後、鍵生成または署名プロセス中に異常な証明データを悪用し、最終的にオフラインでウォレット鍵を再構築するという方法が含まれる。しかし、彼は現在、根本原因はまだ確認されておらず、調査員がこの事件が既知のGG20の脆弱性によるものか、新たな未知の脆弱性によるものかを判断できないと強調した。
THORChainの貢献者は、調査が継続中であり、今後も修復の進捗を随時発表すると表明しました。このイベントは、MPCおよびTSSインフラのセキュリティに対する市場の関心を再び高めました。これらのソリューションは、クロスチェーンプロトコル、クーディングシステム、機関向け暗号サービスで広く採用されています。