THORChain повідомив, що після виявлення аномальної активності мережа призупинила торгівлю та операції підпису, щоб запобігти подальшому виведенню коштів. За інформацією, оприлюдненою сторонами протоколу та безпековими дослідниками, один із сховищ Asgard, схоже, був атакований, і збитки становлять приблизно 10,7–10,8 мільйонів доларів США.
Постраждали власні кошти протоколу
У повідомленні від 15 травня THORChain зазначила, що один із шести сховищ Asgard може бути скомпрометований, а процес churn-обертання тимчасово призупинено. Протокол також вимагає від операторів вузлів перевірити інфраструктуру, системи керування ключами та безпеку експлуатації, щоб виявити можливі додаткові ризики.
Початково сторона протоколу заявила, що кошти користувачів, схоже, не були безпосередньо задіяні, і наразі відомі втрати обмежуються власними коштами протоколу.
- Піддані впливу: 1 сховище Asgard
- Оцінка збитків: приблизно 10,7–10,8 мільйона доларів США
- Поточні заходи: призупинено підпис, призупинено торгівлю, призупинено churn
Дослідники звертають увагу на ризики MPC/TSS
Генеральний директор Ledger Чарльз Гільєме заявив, що цей інцидент може бути пов’язаний з вразливостями в інфраструктурі, пов’язаній з пороговою схемою підпису. Він посилається на заяву співробітника THORChain JP Thor, що ця атака «може бути MPC-атакою», згадуючи протоколи порогового підпису, такі як GG20.
Сховища THORChain залежать від механізму TSS. Цей механізм дозволяє кільком вузлам спільно виконувати підпис, не зберігаючи повний приватний ключ у одній точці. Guillemet зазначив, що протоколи, такі як GG18 і GG20, раніше мали серйозні вразливості, включаючи CVE-2023-33241 і TSSHOCK.
Він також зазначив, що в деяких вже оприлюднених сценаріях атаки один скомпрометований спільний підписуючий учасник теоретично може відновити достатню кількість інформації для відновлення повного ключа підпису.
Шлях атаки ще не підтверджено
Гільєме також зазначив, що завдяки здатності великих моделей виявляти та генерувати використання вразливостей, бар’єри для атак на інфраструктуру валидаторів можуть знижуватися. Це означає, що середовища вузлів, які раніше вважалися складними для взлому, піддаються новому тиску з точки зору безпеки.
Наведені ним можливі сценарії включають: спочатку контролювати вузол-верифікатор, чекати, поки він увійде в активне сховище, а потім використовувати аномальні дані доказів під час генерації ключа або підпису, щоб остаточно відновити ключ сховища в автономному режимі. Однак він також підкреслив, що наразі первинна причина ще не підтверджена, і слідчі не можуть визначити, чи цей інцидент виник через відому слабкість GG20, чи через нову невідому вразливість.
Учасники THORChain зазначили, що розслідування продовжується, і надалі будуть публікувати оновлення щодо виправлень. Цей інцидент знову звернув увагу ринку на безпеку інфраструктури MPC та TSS, оскільки такі рішення вже широко використовуються в крос-чейн протоколах, системах托管 та інституційних криптовалютних сервісах.