THORChain приостановил торговлю после хака на $10,8 млн, что вызвало опасения по поводу безопасности MPC-кошелька

THORChain приостановил торговлю и подпись операций после компрометации одного из своих хранилищ Asgard в результате атаки, в результате которой было похищено примерно от 10,7 до 10,8 миллиона долларов. Согласно заявлениям протокола и исследователей безопасности.

В объявлении, опубликованном 15 мая, THORChain сообщила, что сеть автоматически обнаружила аномальную активность и приостановила операции подписи, чтобы предотвратить дополнительные исходящие транзакции.

Протокол сказал:

• один из шести хранилищ Асгарда, похоже, был скомпрометирован,
• деятельность по оттоку приостановлена,
• и операторам нод было предложено проверить инфраструктуру, системы управления ключами и операционную безопасность на признаки компрометации.

THORChain добавила, что первоначальные данные указывают на то, что средства пользователей не были напрямую затронуты, и потери, по всей видимости, ограничиваются средствами, принадлежащими протоколу.

Шарль Гильеме предположил, что инцидент может быть связан с уязвимостью, связанной с инфраструктурой пороговой схемы подписи [TSS].

Ссылаясь на комментарии участника THORChain JP Thor, Гийоме заявил, что эксплуатация «может быть MPC-эксплуатацией», связанной с GG20. Это протокол пороговой подписи, используемый в некоторых системах кошельков на основе многопартийных вычислений [MPC].

Сейфы THORChain используют TSS — криптографическую систему, предназначенную для совместного создания подписей несколькими нодами без восстановления полного закрытого ключа в одном месте.

Однако Гильеме отметил, что ранее протоколы семейства GG18/GG20 сталкивались с критическими уязвимостями, включая:

• CVE-2023-33241,
• и TSSHOCK.

Он утверждал, что в некоторых ранее задокументированных сценариях атаки один скомпрометированный со-подписант может восстановить достаточное количество информации для получения полного ключа подписи.

Одной из более заметных частей анализа Гийоме было внимание к искусственному интеллекту и безопасности инфраструктуры.

Он предупредил, что достижения в области обнаружения уязвимостей и генерации эксплойтов с помощью LLM могут снизить сложность компрометации инфраструктуры валидаторов, которая ранее считалась труднодоступной для атак.

Согласно Гийоме, потенциальный сценарий атаки может включать:

• компрометация валидатора,
• ожидание присоединения к активному волту,
• использование некорректных доказательств подписи при генерации ключей или подписи,
• и восстановлением ключей хранилища в автономном режиме.

В то же время он предупредил, что точная причина эксплуатации остается неясной, и отметил, что следователи пока не подтвердили, была ли задействована известная уязвимость GG20 или ранее неизвестный дефект.

Участники THORChain заявили, что расследование продолжается, и дополнительные обновления будут опубликованы по мере продолжения мер по устранению проблемы.

Инцидент усиливает растущий контроль за безопасностью предположений, лежащих в основе MPC и TSS инфраструктуры, которая все чаще используется в кросс-чейн протоколах, системах хранения и институциональной криптовалютной инфраструктуре.

• THORChain приостановил торговлю после эксплуатации вault, в результате которой из средств, принадлежащих протоколу, было похищено примерно 10,8 млн долларов.
• Исследователи безопасности и технический директор Ledger Шарль Гильеме заявили, что инцидент может быть связан с уязвимостями, связанными с инфраструктурой подписи MPC/TSS.