THORChain menyatakan bahawa rangkaian telah menghentikan transaksi dan operasi tanda tangan selepas mengesan aktiviti tidak biasa, untuk mencegah lebih banyak dana keluar. Menurut pihak protokol dan penyelidik keselamatan yang mengungkapkan maklumat, sebuah gudang Asgard didakwa telah diserang, dengan kerugian sebanyak kira-kira $10.7 hingga $10.8 juta.
Yang terkesan ialah dana sendiri protokol
Dalam pengumuman pada 15 Mei, THORChain menyatakan bahawa salah satu daripada enam rekening Asgard mungkin telah diserang, dan proses perputaran churn kini telah dihentikan. Protokol juga meminta pengendali nod untuk memeriksa infrastruktur, sistem pengurusan kunci, dan keselamatan operasi bagi mengenal pasti sebarang risiko tambahan.
Pihak protokol awalnya menyatakan bahawa dana pengguna kelihatannya tidak terjejas secara langsung, dan kerugian yang diketahui semasa ini terhad kepada dana protokol itu sendiri.
- Objek yang terkesan: 1 rekening Asgard
- Anggaran kerugian: sekitar US$10.7 juta hingga US$10.8 juta
- Langkah semasa: Jeda tanda tangan, jeda perdagangan, jeda churn
Penyelidik menunjukkan risiko MPC/TSS
Ketua Teknologi Ledger, Charles Guillemet, menyatakan bahawa insiden ini mungkin berkaitan dengan kelemahan infrastruktur yang berkaitan dengan skema tanda tangan ambang. Beliau merujuk kepada penyumbang THORChain, JP Thor, yang menyatakan bahawa serangan ini “mungkin merupakan serangan MPC”, serta menyebut protokol tanda tangan ambang seperti GG20.
THORChain simpanan bergantung pada mekanisme TSS. Mekanisme ini membenarkan beberapa nod untuk bersama-sama menandatangani tanpa perlu menyimpan kunci peribadi penuh di satu titik tunggal. Guillemet menunjukkan bahawa protokol seperti GG18 dan GG20 sebelum ini pernah menunjukkan lubang keamanan serius, termasuk CVE-2023-33241 dan TSSHOCK.
Dia juga menyebut bahawa dalam beberapa skenario serangan yang telah diumumkan, pihak tanda tangan bersama yang telah diretas secara tunggal secara teori boleh memulihkan cukup maklumat untuk membina semula kunci tanda tangan penuh.
Laluan serangan masih belum dikonfirmasi
Guillemet juga menyebut bahawa dengan memanfaatkan kemampuan model besar dalam mengesan dan menghasilkan eksploitasi lubang, had untuk penyerang menyerang infrastruktur validator mungkin sedang menurun. Ini bermaksud persekitaran node yang sebelumnya dianggap sukar ditembus kini menghadapi tekanan keselamatan baru.
Laluan berpotensi yang diberikan termasuk: mengawal satu nod pengesah, menunggu ia memasuki reka bentuk aktif, kemudian memanfaatkan data bukti aneh semasa proses penghasilan kunci atau penandatanganan, akhirnya memulihkan kunci reka bentuk secara luar talian. Namun, beliau juga menekankan bahawa punca asal masih belum disahkan, dan penyelidik belum dapat menentukan sama ada insiden ini disebabkan oleh kelemahan GG20 yang sudah diketahui atau kelemahan baru yang tidak diketahui.
Pemberi sumbangan THORChain menyatakan bahawa penyiasatan masih berterusan, dan perkembangan pembaikan akan diterbitkan seterusnya. Insiden ini juga sekali lagi menarik perhatian pasaran terhadap keselamatan infrastruktur MPC dan TSS, kerana penyelesaian semacam ini telah digunakan secara meluas dalam protokol lintas rantai, sistem pengurusan, dan perkhidmatan kripto peringkat institusi.