THORChain cho biết, sau khi phát hiện hoạt động bất thường, mạng đã tạm dừng các giao dịch và thao tác ký để ngăn chặn thêm vốn bị rút ra. Theo thông tin từ phía giao thức và các chuyên gia bảo mật, một kho Asgard có khả năng đã bị tấn công, gây tổn thất khoảng 10,7 đến 10,8 triệu USD.
Số vốn tự có của giao thức bị ảnh hưởng
Trong thông báo ngày 15 tháng 5, THORChain cho biết một trong sáu kho Asgard có thể đã bị xâm phạm, và quy trình churn xoay vòng hiện đã bị tạm dừng. Giao thức cũng yêu cầu các nhà vận hành nút kiểm tra cơ sở hạ tầng, hệ thống quản lý khóa và tình trạng an toàn vận hành để xác định是否存在 thêm rủi ro.
Các bên liên quan ban đầu cho biết, nguồn vốn của người dùng dường như không bị ảnh hưởng trực tiếp, và các tổn thất hiện tại được biết đến chủ yếu giới hạn ở vốn của chính giao thức.
- Đối tượng bị ảnh hưởng: 1 kho Asgard
- Ước tính tổn thất: khoảng 10,7 đến 10,8 triệu USD
- Các biện pháp hiện tại: Tạm dừng ký tên, tạm dừng giao dịch, tạm dừng churn
Các nhà nghiên cứu chỉ ra rủi ro MPC/TSS
Charles Guillemet, CTO của Ledger, cho biết sự kiện này có thể liên quan đến điểm yếu trong cơ sở hạ tầng liên quan đến sơ đồ chữ ký ngưỡng. Ông trích dẫn nhận định từ JP Thor, người đóng góp cho THORChain, rằng cuộc tấn công “có thể là một cuộc tấn công MPC” và đề cập đến các giao thức chữ ký ngưỡng như GG20.
THORChain kho chứa phụ thuộc vào cơ chế TSS. Cơ chế này cho phép nhiều nút cùng thực hiện chữ ký mà không cần tập trung toàn bộ khóa riêng tại một điểm duy nhất. Guillemet chỉ ra rằng các giao thức như GG18, GG20 trước đây từng bị phơi bày các lỗ hổng nghiêm trọng, bao gồm CVE-2023-33241 và TSSHOCK.
Anh ấy cũng nhấn mạnh rằng, trong một số kịch bản tấn công đã được công khai, một bên ký liên hợp bị xâm phạm duy nhất về lý thuyết có thể khôi phục đủ thông tin để tái tạo khóa ký đầy đủ.
Đường tấn công vẫn chưa được xác nhận
Guillemet cũng nhấn mạnh rằng, nhờ khả năng phát hiện lỗ hổng và tạo ra khai thác của các mô hình lớn, rào cản để kẻ tấn công xâm nhập vào cơ sở hạ tầng người xác thực có thể đang giảm xuống. Điều này có nghĩa là các môi trường nút trước đây được coi là khó bị xâm nhập đang đối mặt với áp lực bảo mật mới.
Các lộ trình tiềm năng mà anh ấy đưa ra bao gồm: trước tiên kiểm soát một nút xác minh, chờ nó vào kho hoạt động, sau đó khai thác dữ liệu chứng minh bất thường trong quá trình tạo khóa hoặc ký, cuối cùng tái tạo khóa kho ngoại tuyến. Tuy nhiên, anh ấy cũng nhấn mạnh rằng nguyên nhân gốc rễ hiện vẫn chưa được xác nhận, và các nhà điều tra vẫn chưa thể xác định được sự kiện này xuất phát từ điểm yếu GG20 đã biết hay một lỗ hổng mới chưa được biết đến.
Các đóng góp viên của THORChain cho biết cuộc điều tra vẫn đang được tiến hành và sẽ tiếp tục công bố tiến độ khắc phục. Sự kiện này cũng một lần nữa thu hút sự chú ý của thị trường đối với tính bảo mật của cơ sở hạ tầng MPC và TSS, vì các giải pháp này đã được sử dụng rộng rãi trong các giao thức liên chuỗi, hệ thống lưu ký và dịch vụ tiền điện tử cấp tổ chức.