THORChain đã ngừng giao dịch và hoạt động ký sau khi một trong các kho Asgard của nó bị xâm phạm trong một vụ khai thác làm cạn kiệt khoảng 10,7 triệu đến 10,8 triệu USD. Đây là theo các tuyên bố từ giao thức và các chuyên gia bảo mật.
Trong một thông báo đăng vào ngày 15 tháng 5, THORChain cho biết mạng lưới đã tự động phát hiện hoạt động bất thường và tạm dừng các thao tác ký để ngăn chặn các giao dịch ra ngoài bổ sung.
Giao thức đã nói:
- một trong sáu kho Asgard dường như đã bị xâm phạm,
- hoạt động churn đã được tạm dừng,
- và các chủ nút mạng đã được yêu cầu xem xét cơ sở hạ tầng, hệ thống quản lý khóa và an ninh vận hành để tìm dấu hiệu bị xâm phạm.
THORChain cho biết các dấu hiệu ban đầu cho thấy quỹ của người dùng không bị ảnh hưởng trực tiếp và tổn thất dường như chỉ giới hạn ở các quỹ do giao thức sở hữu.
CTO của Ledger chỉ ra khả năng tồn tại lỗ hổng TSS
Charles Guillemet cho rằng sự cố có thể liên quan đến điểm yếu trong cơ sở hạ tầng của sơ đồ chữ ký ngưỡng [TSS].
Trích dẫn bình luận từ người đóng góp THORChain JP Thor, Guillemet cho biết vụ khai thác “có thể là một vụ khai thác MPC” liên quan đến GG20. Đây là một giao thức chữ ký ngưỡng được sử dụng trong một số hệ thống ví đa bên tính toán [MPC].
Các kho chứa của THORChain dựa vào TSS, một hệ thống mật mã được thiết kế để cho phép nhiều nút mạng cùng tạo chữ ký mà không cần tái tạo khóa riêng đầy đủ tại một nơi duy nhất.
Tuy nhiên, Guillemet lưu ý rằng các giao thức họ GG18/GG20 trước đây đã từng đối mặt với các lỗ hổng nghiêm trọng, bao gồm:
- CVE-2023-33241,
- và TSSHOCK.
Anh ấy lập luận rằng trong một số kịch bản tấn công đã được ghi nhận trước đây, một đồng ký bị xâm phạm có thể tái tạo đủ thông tin để khôi phục khóa ký đầy đủ.
Các cuộc tấn công được hỗ trợ bởi AI có thể đang thay đổi các giả định bảo mật của validator
Một trong những phần nổi bật hơn trong phân tích của Guillemet tập trung vào trí tuệ nhân tạo và bảo mật hạ tầng.
Anh ấy cảnh báo rằng những tiến bộ trong việc phát hiện lỗ hổng và tạo khai thác được hỗ trợ bởi LLM có thể làm giảm độ khó trong việc xâm phạm cơ sở hạ tầng validator, vốn trước đây được coi là khó tấn công.
Theo Guillemet, một kịch bản tấn công tiềm năng có thể bao gồm:
- xâm nhập vào một validator,
- đang chờ nó tham gia vào quỹ đang hoạt động,
- khai thác các bằng chứng ký không hợp lệ trong quá trình tạo khóa hoặc ký,
- và tái tạo khóa vault ngoại tuyến.
Đồng thời, ông cảnh báo rằng nguyên nhân gốc chính xác của vụ khai thác vẫn chưa rõ ràng và cho biết các nhà điều tra chưa xác nhận được liệu có phải là điểm yếu GG20 đã biết hay một lỗ hổng chưa từng được phát hiện trước đây gây ra.
Cuộc điều tra vẫn đang tiếp diễn
Các đóng góp viên của THORChain cho biết cuộc điều tra vẫn đang tiếp diễn và sẽ có thêm các bản cập nhật được công bố khi các nỗ lực khắc phục tiếp tục.
Sự cố này làm gia tăng sự giám sát ngày càng tăng đối với các giả định bảo mật đằng sau hạ tầng MPC và TSS, vốn đang được sử dụng ngày càng rộng rãi trong các giao thức liên chuỗi, hệ thống lưu ký và hạ tầng tiền điện tử tổ chức.
Tổng kết cuối cùng
- THORChain đã tạm dừng giao dịch sau khi một vụ khai thác vault làm cạn khoảng 10,8 triệu USD từ quỹ thuộc về giao thức.
- Các chuyên gia bảo mật và CTO của Ledger, Charles Guillemet, cho biết sự cố có thể liên quan đến các điểm yếu trong cơ sở hạ tầng ký MPC/TSS.