THORChain menghentikan aktiviti perniagaan dan penandatanganan selepas salah satu kotak Asgardnya diserang dalam serangan yang menguras kira-kira $10.7 juta hingga $10.8 juta. Ini berdasarkan pernyataan daripada protokol dan penyelidik keselamatan.
Dalam pengumuman yang dipost pada 15 Mei, THORChain mengatakan rangkaian tersebut secara automatik mengesan aktiviti tidak biasa dan menghentikan operasi penandatanganan untuk mencegah transaksi keluar tambahan.
Protokol itu berkata:
- salah satu daripada enam cekungan Asgard kelihatan telah diserang,
- aktiviti pengeluaran telah dihentikan,
- dan operator nod telah diminta untuk mengkaji infrastruktur, sistem pengurusan kunci, dan keselamatan operasi bagi mencari tanda-tanda kompromi.
THORChain menambahkan bahawa petunjuk awal menunjukkan dana pengguna tidak terjejas secara langsung dan kerugian kelihatan terhad kepada dana yang dimiliki protokol.
CTO Ledger menunjuk kepada kemungkinan kerentanan TSS
Charles Guillemet mencadangkan insiden itu mungkin melibatkan kelemahan yang berkaitan dengan infrastruktur skema tanda tangan ambang [TSS].
Merujuk kepada komen daripada penyumbang THORChain, JP Thor, Guillemet mengatakan eksploit itu “bisa jadi eksploit MPC” yang melibatkan GG20. Ini adalah protokol tanda tangan ambang yang digunakan dalam beberapa sistem dompet komputasi pihak banyak [MPC].
Kotak THORChain bergantung kepada TSS, sistem kriptografi yang direka untuk membenarkan beberapa nod menghasilkan tanda tangan secara bersama tanpa menggabungkan kunci peribadi penuh di satu tempat.
Namun, Guillemet mencatat bahawa protokol keluarga GG18/GG20 sebelum ini secara sejarah menghadapi kerentanan kritikal, termasuk:
- CVE-2023-33241,
- dan TSSHOCK.
Beliau berhujah bahawa dalam beberapa senario serangan yang telah didokumentasikan sebelum ini, seorang co-signer yang telah disusupi boleh mengumpul cukup maklumat untuk memulihkan kunci penandatanganan penuh.
Serangan yang dibantu AI mungkin sedang mengubah anggapan keselamatan validator
Salah satu bahagian yang lebih ketara dalam analisis Guillemet berfokus pada kecerdasan buatan dan keselamatan infrastruktur.
Dia memperingatkan bahawa kemajuan dalam penemuan kerentanan dan penghasilan eksploit yang dibantu LLM mungkin mengurangkan kesukaran dalam menyerang infrastruktur validator yang sebelumnya dianggap sukar diserang.
Menurut Guillemet, satu senario serangan yang berpotensi boleh melibatkan:
- mengompromikan validator,
- menunggu ia menyertai cekung aktif,
- memanfaatkan bukti penandatanganan yang tidak sah semasa penghasilan kunci atau penandatanganan,
- dan menyusun semula kunci vault secara luar talian.
Pada masa yang sama, dia berwaspada bahawa punca tepat eksploit tersebut masih tidak jelas dan berkata penyiasat belum mengesahkan sama ada kelemahan GG20 yang diketahui atau kecacatan yang sebelum ini tidak dikenali terlibat.
Siasatan masih berterusan
Pemberi sumbangan THORChain mengatakan penyiasatan masih berterusan dan pembaruan tambahan akan dikeluarkan seiring usaha pembaikan berterusan.
Kejadian ini menambahkan tekanan yang semakin meningkat terhadap anggapan keselamatan di sebalik infrastruktur MPC dan TSS, yang semakin banyak digunakan dalam protokol lintas rantai, sistem penitipan, dan infrastruktur kripto institusi.
Ringkasan Akhir
- THORChain menghentikan perniagaan selepas eksploit kotak menyedut kira-kira $10.8 juta daripada dana yang dimiliki protokol.
- Penyelidik keselamatan dan CTO Ledger, Charles Guillemet, mengatakan insiden itu mungkin melibatkan kelemahan yang berkaitan dengan infrastruktur penandatanganan MPC/TSS.