O THORChain suspendeu as atividades de negociação e assinatura após um dos seus cofres Asgard ser comprometido em uma exploração que drenou aproximadamente de US$ 10,7 milhões a US$ 10,8 milhões. Isso segundo declarações do protocolo e pesquisadores de segurança.
Em um anúncio publicado em 15 de maio, o THORChain disse que a rede detectou automaticamente atividade anormal e suspendeu as operações de assinatura para evitar transações adicionais de saída.
O protocolo disse:
- um dos seis cofres Asgard parece ter sido comprometido,
- a atividade de churn foi pausada,
- e os operadores de nós foram solicitados a revisar a infraestrutura, os sistemas de gerenciamento de chaves e a segurança operacional em busca de sinais de comprometimento.
O THORChain acrescentou que indicações iniciais sugerem que os fundos dos usuários não foram diretamente afetados e que as perdas parecem limitadas aos fundos pertencentes ao protocolo.
CTO da Ledger aponta para possível vulnerabilidade no TSS
Charles Guillemet sugeriu que o incidente poderia envolver uma fraqueza relacionada à infraestrutura do esquema de assinatura de limiar [TSS].
Referindo-se aos comentários do contribuidor da THORChain, JP Thor, Guillemet disse que a exploração “poderia ser uma exploração de MPC” envolvendo GG20. Este é um protocolo de assinatura de limiar utilizado em alguns sistemas de carteira de computação multipartite [MPC].
Os cofres do THORChain dependem do TSS, um sistema criptográfico projetado para permitir que múltiplos nodes produzam assinaturas conjuntamente sem reconstruir a chave privada completa em um único local.
No entanto, Guillemet observou que protocolos anteriores da família GG18/GG20 historicamente enfrentaram vulnerabilidades críticas, incluindo:
- CVE-2023-33241,
- e TSSHOCK.
Ele argumentou que, em alguns cenários de ataque previamente documentados, um único co-assinante comprometido poderia reconstruir informações suficientes para recuperar a chave de assinatura completa.
Ataques assistidos por IA podem estar alterando as suposições de segurança dos validadores
Uma das partes mais notáveis da análise de Guillemet focou em inteligência artificial e segurança da infraestrutura.
Ele alertou que avanços na descoberta de vulnerabilidades e geração de explorações assistidas por LLMs podem reduzir a dificuldade de comprometer a infraestrutura de validadores que anteriormente era considerada difícil de atacar.
De acordo com Guillemet, um cenário de ataque potencial poderia envolver:
- comprometer um validador,
- aguardando para se juntar a um vault ativo,
- explorando provas de assinatura malformadas durante a geração de chaves ou assinatura,
- e reconstrução das chaves do cofre offline.
Ao mesmo tempo, ele alertou que a causa raiz exata da exploração permanece incerta e disse que os investigadores ainda não confirmaram se uma vulnerabilidade conhecida do GG20 ou uma falha anteriormente desconhecida estava envolvida.
A investigação continua em andamento
Os contribuidores do THORChain disseram que a investigação ainda está em andamento e que atualizações adicionais serão divulgadas à medida que os esforços de correção continuarem.
O incidente acrescenta à crescente análise sobre as suposições de segurança por trás da infraestrutura MPC e TSS, que são cada vez mais utilizadas em protocolos cross-chain, sistemas de custódia e infraestrutura institucional de criptomoedas.
Resumo Final
- O THORChain interrompeu as negociações após uma exploração de vault drenar aproximadamente US$ 10,8 milhões dos fundos pertencentes ao protocolo.
- Pesquisadores de segurança e o CTO da Ledger, Charles Guillemet, disseram que o incidente pode envolver fraquezas relacionadas à infraestrutura de assinatura MPC/TSS.