O THORChain informou que, após detectar atividade anormal, a rede suspendeu operações de negociação e assinatura para impedir mais saídas de fundos. De acordo com informações divulgadas pela equipe do protocolo e pesquisadores de segurança, um cofre Asgard supostamente foi atacado, com perdas estimadas entre US$ 10,7 milhões e US$ 10,8 milhões.
Os fundos próprios do protocolo afetados
Em um comunicado emitido em 15 de maio, o THORChain afirmou que um dos seis cofres Asgard pode ter sido comprometido, e o processo atual de churn e rotação foi suspenso. O protocolo também solicitou que os operadores de nós verifiquem sua infraestrutura, sistemas de gerenciamento de chaves e segurança operacional para identificar possíveis riscos adicionais.
A parte do protocolo inicialmente indicou que os fundos dos usuários parecem não ter sido diretamente afetados, e os prejuízos conhecidos até o momento estão limitados aos fundos próprios do protocolo.
- Objetos afetados: 1 cofre Asgard
- Estimativa de perda: aproximadamente US$ 10,7 milhões a US$ 10,8 milhões
- Medidas atuais: suspensão de assinatura, suspensão de negociação, suspensão de churn
Pesquisadores apontam riscos MPC/TSS
O chefe de tecnologia da Ledger, Charles Guillemet, afirmou que o evento pode estar relacionado a vulnerabilidades na infraestrutura associada ao esquema de assinatura de limiar. Ele citou o contribuidor da THORChain, JP Thor, dizendo que o ataque “pode ter sido um ataque MPC” e mencionou protocolos de assinatura de limiar como o GG20.
O cofre do THORChain depende do mecanismo TSS. Esse mecanismo permite que múltiplos nós realizem assinaturas conjuntamente, sem a necessidade de concentrar a chave privada completa em um único ponto. Guillemet apontou que protocolos como GG18 e GG20 já expuseram vulnerabilidades graves, incluindo CVE-2023-33241 e TSSHOCK.
Ele também mencionou que, em alguns cenários de ataque já divulgados, uma única parte de assinatura conjunta comprometida poderia, teoricamente, recuperar informações suficientes para reconstruir a chave de assinatura completa.
A rota de ataque ainda não foi confirmada
Guillemet também mencionou que, com a capacidade de grandes modelos para descobrir e gerar explorações de vulnerabilidades, o limiar para invasão da infraestrutura de validadores pode estar diminuindo. Isso significa que ambientes de nós anteriormente considerados difíceis de comprometer agora enfrentam novas pressões de segurança.
Os caminhos potenciais que ele apresentou incluem: primeiro controlar um nó validador, aguardar sua entrada no cofre ativo e, em seguida, explorar dados de prova anômalos durante o processo de geração ou assinatura de chaves, para finalmente reconstruir offline a chave do cofre. No entanto, ele também enfatizou que, atualmente, a causa raiz ainda não foi confirmada, e os investigadores ainda não conseguem determinar se este evento se deve a uma fraqueza conhecida do GG20 ou a uma nova vulnerabilidade desconhecida.
Contribuidores do THORChain afirmaram que a investigação ainda está em andamento e que mais atualizações sobre as correções serão divulgadas em breve. Este incidente também reacendeu a atenção do mercado sobre a segurança da infraestrutura MPC e TSS, pois essas soluções já são amplamente utilizadas em protocolos cross-chain, sistemas de custódia e serviços criptográficos institucionais.