THORChain сообщила, что после обнаружения подозрительной активности сеть приостановила торговые и подписывающие операции, чтобы предотвратить дальнейший отток средств. Согласно информации, раскрытой сторонами протокола и безопасностными исследователями, один из хранилищ Asgard, предположительно, был атакован, и убытки составили примерно от 10,7 до 10,8 млн долларов США.
Затронуты собственные средства протокола
В объявлении от 15 мая THORChain сообщила, что один из шести хранилищ Asgard мог быть скомпрометирован, и процесс churn-ротации приостановлен. Протокол также требует от операторов узлов проверить инфраструктуру, системы управления ключами и безопасность эксплуатации на предмет возможных дополнительных рисков.
Стороны протокола первоначально заявили, что средства пользователей, по-видимому, не были напрямую затронуты, и текущие известные потери ограничиваются собственными средствами протокола.
- Затронутые объекты: 1 хранилище Asgard
- Оценка убытков: примерно 10,7–10,8 млн долларов США
- Текущие меры: приостановка подписи, приостановка торговли, приостановка churn
Исследователи указывают на риски MPC/TSS
Главный технический директор Ledger Чарльз Гильеме заявил, что это событие может быть связано с уязвимостями в инфраструктуре, связанной с пороговой схемой подписи. Он сослался на слова участника THORChain JP Thor, согласно которым эта атака «может быть MPC-атакой», и упомянул пороговые протоколы подписи, такие как GG20.
Казна THORChain зависит от механизма TSS. Этот механизм позволяет нескольким узлам совместно выполнять подпись, не концентрируя полный приватный ключ в одной точке. Guillemet отметил, что протоколы, такие как GG18 и GG20, ранее имели серьезные уязвимости, включая CVE-2023-33241 и TSSHOCK.
Он также отметил, что в некоторых уже опубликованных сценариях атаки одного скомпрометированного участника совместной подписи теоретически может быть достаточно для восстановления достаточной информации и последующего восстановления полного ключа подписи.
Путь атаки пока не подтвержден
Гильеме также отметил, что благодаря способности крупных моделей обнаруживать уязвимости и генерировать эксплойты, порог для атак на инфраструктуру валидаторов может снижаться. Это означает, что среды узлов, которые ранее считались труднодоступными для атак, теперь сталкиваются с новыми угрозами безопасности.
Предложенные им потенциальные сценарии включают: сначала контроль над узлом-валидатором, ожидание его входа в активный сейф, а затем использование аномальных данных доказательства в процессе генерации ключа или подписи для окончательного восстановления ключа сейфа в офлайн-режиме. Однако он также подчеркнул, что текущая коренная причина еще не подтверждена, и следователи не могут определить, вызвано ли это событие известной уязвимостью GG20 или новой, неизвестной уязвимостью.
Участники THORChain сообщили, что расследование продолжается, и дальнейшие обновления о ходе устранения проблемы будут публиковаться. Этот инцидент снова привлек внимание рынка к безопасности инфраструктуры MPC и TSS, поскольку такие решения широко используются в межцепных протоколах, системах хранения и институциональных криптовалютных сервисах.