THORChain, anormal aktivite tespit edildikten sonra daha fazla fon çıkışını önlemek amacıyla ağda işlem ve imza işlemlerini durdurdu. Protokol tarafı ve güvenlik araştırmacıları tarafından açıklanan bilgilere göre, bir Asgard kasanın saldırıya uğradığı ve yaklaşık 10,7 milyon ile 10,8 milyon dolar arasında bir kayıp yaşandığı belirtildi.
Etkilenen, protokolün kendi sermayesidir.
THORChain, 15 Mayıs'ta yayımlanan açıklamada, 6 Asgard kasanın birinin işgal edilmiş olabileceğini ve şu anki churn döngüsünün durdurulduğunu belirtti. Protokol, düğüm operatörlerine altyapılarını, anahtar yönetim sistemlerini ve operasyonel güvenlik durumlarını incelemeleri ve ek riskler olup olmadığını belirlemeleri talimatını verdi.
Protokol tarafı, kullanıcı fonlarının doğrudan etkilenmediğini, mevcut bilgilere göre kayıpların protokolün kendi fonlarına sınırlı olduğunu belirtti.
- Etkilenen nesne: 1 Asgard kasanı
- Tahmini kayıp: Yaklaşık 10,7 milyon ila 10,8 milyon ABD doları
- Mevcut önlemler: İmza durduruldu, işlem durduruldu, churn durduruldu
Araştırmacılar MPC/TSS riskini işaret ediyor
Ledger baş teknik görevlisi Charles Guillemet, olayın eşik imza şemasıyla ilgili altyapı zayıflıklarıyla ilişkili olabileceğini belirtti. THORChain katkıda bulunan JP Thor'un ifadesine dayanarak, bu saldırının "muhtemelen bir MPC saldırısı" olduğunu ve GG20 gibi eşik imza protokollerine atıfta bulundu.
THORChain kasesi TSS mekanizmasına dayanır. Bu mekanizma, tam özel anahtarın tek bir noktada toplanmadan birden fazla düğümün birlikte imza atmasını sağlar. Guillemet, GG18 ve GG20 gibi protokollerin geçmişte CVE-2023-33241 ve TSSHOCK dahil ciddi açıklara maruz kaldığını belirtti.
Ayrıca, bazı açıklandığı saldırı senaryolarında, tek bir işbirlikçi imzalama tarafının ele geçirilmesi teorik olarak yeterli bilgiyi ortaya çıkararak tam imza anahtarını yeniden oluşturmayı mümkün kılabilir.
Saldırı yolu henüz doğrulanmadı
Guillemet, büyük modellerin zafiyet bulma ve istismar oluşturma yetenekleri sayesinde saldırganların doğrulayıcı altyapısına erişim eşiğinin düştüğünü de belirtti. Bu, geçmişte daha zor kırılacak olarak kabul edilen düğüm ortamlarının yeni bir güvenlik baskısı ile karşı karşıya kaldığı anlamına gelir.
Verdiği olası senaryolar şunları içeriyor: Önce bir doğrulayıcı düğümü kontrol altına almak, bunun aktif kasa haline gelmesini beklemek, ardından anahtar oluşturma veya imza sürecinde anormal kanıt verilerini kullanmak ve nihayetinde kasa anahtarını çevrimdışı olarak yeniden oluşturmak. Ancak, olayın temel nedeninin henüz doğrulanmadığını ve bu olayın bilinen GG20 zafiyetinden mi yoksa yeni, bilinmeyen bir açıklıktan mı kaynaklandığını araştırmacıların henüz belirleyemediğini de vurguladı.
THORChain katılımcıları, soruşturma hâlâ devam ediyor ve onarım ilerlemeleri hakkında daha fazla bilgi paylaşılacağını belirtti. Bu olay, MPC ve TSS altyapı güvenliği konusunda piyasa dikkatini yeniden çekti, çünkü bu tür çözümler çapraz zincir protokolleri, konsiyer hizmetleri ve kurumsal düzeydeki kripto servislerde yaygın olarak kullanılmaktadır.