THORChain призупиняє торгівлю після витоку на $10,8 млн, що викликає занепокоєння щодо безпеки MPC-гаманця

THORChain призупинив торгівлю та підписання активності після того, як один із його сховищ Asgard був скомпрометований у результаті атаки, внаслідок якої було викрадено приблизно 10,7–10,8 мільйона доларів США. Про це повідомляють протокол та дослідники безпеки.

У оголошенні, опублікованому 15 травня, THORChain повідомив, що мережа автоматично виявила незвичайну активність і призупинила операції підпису, щоб запобігти додатковим вихідним транзакціям.

Протокол сказав:

• один із шести сховищ Асгард, схоже, був скомпрометований,
• активність churn призупинена,
• та операторам нод було запропоновано перевірити інфраструктуру, системи керування ключами та операційну безпеку на наявність ознак компрометації.

THORChain додала, що початкові дані свідчать про те, що кошти користувачів не були безпосередньо вплинуті, а збитки, схоже, обмежені коштами, що належать протоколу.

Шарль Гільме зазначив, що інцидент може бути пов’язаний із слабкістю, що стосується інфраструктури схеми порогового підпису [TSS].

Посилаючись на коментарі від учасника THORChain JP Thor, Жильме сказав, що експлойт «може бути MPC-експлойтом», що стосується GG20. Це протокол порогової підпису, який використовується в деяких системах гаманців на основі багатоучасникових обчислень [MPC].

Сховища THORChain залежать від TSS — криптографічної системи, розробленої для того, щоб кілька нод могли спільно створювати підписи, не відновлюючи повний приватний ключ в одному місці.

Однак Гійоме зазначив, що ранішні протоколи сімейства GG18/GG20 історично стикалися з критичними вразливостями, зокрема:

• CVE-2023-33241,
• і TSSHOCK.

Він стверджував, що в деяких раніше задокументованих сценаріях атаки один скомпрометований співпідписант може відновити достатньо інформації, щоб відновити повний ключ підпису.

Однією з найбільш помітних частин аналізу Гійоме було звернення до штучного інтелекту та безпеки інфраструктури.

Він попередив, що досягнення у сфері виявлення вразливостей та генерації експлойтів за допомогою LLM можуть зменшити складність компрометації інфраструктури валідаторів, яка раніше вважалася важкодоступною для атак.

За словами Гіллеме, потенційний сценарій атаки може включати:

• компрометація валідатора,
• очікування приєднання до активного сейфа,
• експлуатація пошкоджених доказів підпису під час генерації ключів або підпису,
• та відновлення ключів сховищ автономно.

В той же час він попередив, що точна причина експлуатації залишається невідомою, і сказав, що слідчі ще не підтвердили, чи була задіяна відома слабкість GG20 чи раніше невідомий дефект.

Учасники THORChain сказали, що розслідування продовжується, і додаткові оновлення будуть опубліковані по мірі продовження заходів з усунення проблем.

Цей інцидент посилює зростаючу увагу до безпеки припущень, що лежать в основі MPC та TSS інфраструктури, які все частіше використовуються в крос-чейн протоколах, системах зберігання та інституційній криптовалютній інфраструктурі.

• THORChain призупинив торгівлю після експлуатації скриньки, внаслідок якої було викрадено приблизно 10,8 мільйона доларів США з коштів, що належать протоколу.
• Дослідники безпеки та технічний директор Ledger Чарльз Гільєме сказав, що інцидент може стосуватися слабких місць, пов’язаних із інфраструктурою підпису MPC/TSS.