THORChain đã mất khoảng 10,7 triệu USD vào ngày 15 tháng Năm sau khi một người vận hành nút mạng độc hại khai thác lỗ hổng trong sơ đồ chữ ký ngưỡng của giao thức. Hiện tại, dự án đã có kế hoạch khắc phục sự cố, và kế hoạch này không bao gồm việc in thêm token.
Đề xuất phục hồi, được gọi là ADR028, cam kết bù đắp tổn thất thông qua thanh khoản do giao thức sở hữu trước tiên, với bất kỳ khoản thiếu hụt còn lại được phân bổ tỷ lệ cho những người nắm giữ tài sản tổng hợp. Không sẽ có thêm RUNE nào được đúc ra hoặc bán ra. Đối với những người nắm giữ hiện tại, đó là chi tiết quan trọng nhất.
Điều gì đã xảy ra và cách nó được ngăn chặn
Kẻ tấn công là một chủ nút mạng mới được tạo ra, vừa tham gia vào mạng THORChain chỉ hai ngày trước vụ khai thác. Khoảng thời gian ngắn ngủi đó đã đủ để thực hiện một cuộc tấn công nhắm vào sơ đồ chữ ký ngưỡng GG20, hệ thống mật mã điều hành cách quản lý khóa kho trong cơ sở hạ tầng phi tập trung của THORChain.
THORChain sử dụng một hệ thống trong đó nhiều người vận hành nút mạng cùng kiểm soát các khóa kho, vì vậy không bên nào có thể truy cập vào quỹ một mình. Kẻ tấn công đã tìm ra cách tái tạo các khóa riêng quan trọng của kho thông qua lỗ hổng trong hệ thống này, hiệu quả như việc mở khóa kho bạc của giao thức.
Tin tốt là trình kiểm tra độ thanh khoản tự động của THORChain đã phát hiện ra sự bất thường trong vòng vài phút. Các hoạt động giao dịch và ký đã được tạm dừng, và các người vận hành nút mạng đã phối hợp để đóng băng hoàn toàn mạng lưới trong khoảng hai giờ. Tốc độ này đã ngăn chặn được một khoản hao hụt có thể lớn hơn nhiều.
Theo giao thức, không có tổn thất trực tiếp nào ảnh hưởng đến quỹ người dùng hoặc vị thế của nhà cung cấp thanh khoản. Phản ứng nhanh chóng này được kích hoạt bởi hệ thống quản trị Mimir của THORChain, cho phép các vận hành viên nút mạng điều chỉnh các tham số quan trọng mà không cần chờ đợi các chu kỳ quản trị kéo dài. Hãy nghĩ nó như một phanh khẩn cấp thực sự hoạt động.
Kế hoạch phục hồi: ADR028
Đây là cách ADR028 được cấu trúc. Hàng phòng thủ đầu tiên là thanh khoản do giao thức sở hữu, về cơ bản là nguồn vốn dự trữ của chính giao thức tồn tại trong các pool thanh khoản của nó. POL hấp thụ càng nhiều càng tốt khoản lỗ 10,7 triệu USD trước khi bất kỳ cơ chế nào khác được kích hoạt.
Bất kỳ phần nào POL không thể bao phủ sẽ được phân phối tỷ lệ cho những người nắm giữ tài sản tổng hợp. Tài sản tổng hợp trên THORChain là đại diện phái sinh của các tài sản như bitcoin hoặc ethereum tồn tại trong các pool của giao thức. Những người nắm giữ các tài sản tổng hợp này sẽ gánh chịu phần thiếu hụt còn lại theo tỷ lệ tương ứng.
Cam kết quan trọng trong ADR028 là điều nó rõ ràng sẽ không làm: phát hành thêm các token RUNE mới. Sau một vụ tấn công, nhiều giao thức đã áp dụng các biện pháp lạm phát để tái vốn hóa, hiệu quả là làm cho mỗi token hiện có trở nên ít giá trị hơn một chút để bù đắp khoản thiếu hụt. THORChain đang giữ vị thế rằng việc pha loãng người nắm giữ là không thể chấp nhận.
Điều này quan trọng vì sự pha loãng token sau các vụ khai thác lỗ hổng đã trở thành một mô hình phổ biến trong DeFi. Đó là công cụ dễ nhất để sử dụng, nhưng lại trừng phạt những người đã ở lại. Bằng cách loại bỏ ngay từ đầu, THORChain đang đưa ra một tuyên bố về quản trị cũng như một tuyên bố tài chính.
Giao thức cũng đã đưa ra phần thưởng cho các hacker mũ trắng sẵn sàng hỗ trợ khôi phục số tiền bị đánh cắp, một chiến lược tiêu chuẩn nhưng thường hiệu quả trong quá trình phục hồi sau sự cố. Các bản vá bảo mật bổ sung nhắm vào các lỗ hổng TSS của GG20 đang được triển khai như một giải pháp tạm thời được phát hành ngay sau sự cố.
Một mô hình rộng hơn về rủi ro liên chuỗi
Các giao thức chéo chuỗi chiếm một vị trí đặc biệt nguy hiểm trong tài chính phi tập trung. Theo thiết kế, chúng kết nối tài sản giữa các blockchain khác nhau, nghĩa là chúng phải quản lý khóa, chữ ký và cơ chế đồng thuận trải dài trên nhiều mạng lưới cùng lúc. Mỗi chuỗi bổ sung là một bề mặt tấn công mới.
Không gian blockchain đã mất hàng tỷ đô la do các vụ khai thác kể từ năm 2021, và các cầu liên chuỗi liên tục là một trong những hạ tầng bị nhắm mục tiêu nhiều nhất. THORChain bản thân cũng đã trải qua các sự cố bảo mật trong những năm trước, khiến vụ khai thác mới nhất này trở thành một phần của thách thức lặp đi lặp lại chứ không phải sự kiện đơn lẻ.
Nhìn nào, thời gian phản hồi hai giờ và các kiểm tra tự động về khả năng thanh toán thực sự ấn tượng đối với một hệ thống phi tập trung. Hầu hết các tổ chức tài chính truyền thống sẽ gặp khó khăn trong việc phát hiện và kiểm soát một sự xâm phạm nhanh như vậy. Nhưng việc một người vận hành nút mạng mới gia nhập chỉ 48 giờ trước có thể tái tạo lại khóa kho chứa đã đặt ra những câu hỏi nghiêm túc về bảo mật khi gia nhập và các giả định về niềm tin được tích hợp vào quá trình luân chuyển.
Điều này có nghĩa gì đối với các nhà đầu tư
Cam kết không pha loãng trong ADR028 là chi tiết quan trọng nhất đối với nhà đầu tư. Người sở hữu RUNE không được yêu cầu gánh chịu tổn thất thông qua lạm phát, giúp duy trì động lực cung token. Trong một thị trường nơi kho bạc giao thức và kinh tế token có thể thay đổi chỉ sau một cuộc tấn công, sự đảm bảo rõ ràng như vậy mang trọng lượng lớn.
Tuy nhiên, sự tự tin không chỉ được xây dựng dựa trên những lời hứa. Các nhà đầu tư nên theo dõi cách THORChain vá các lỗ hổng TSS của GG20 và liệu giao thức có áp dụng các yêu cầu nghiêm ngặt hơn đối với các chủ nút mạng mới hay không. Khoảng thời gian hai ngày giữa việc gia nhập mạng lưới và thực hiện cuộc khai thác 10,7 triệu USD cho thấy rào cản gia nhập đối với các tác nhân độc hại cần được siết chặt đáng kể.
Việc các chủ sở hữu tài sản tổng hợp chịu tổn thất tỷ lệ cũng đáng được theo dõi. Nếu nguồn dự trữ POL không thể bù đắp đầy đủ 10,7 triệu USD, mức giảm giá trên các vị thế tổng hợp có thể ảnh hưởng đến thanh khoản và hoạt động giao dịch trên các pool của THORChain. Thanh khoản giảm thường làm rộng biên độ và khiến giao thức kém cạnh tranh hơn trong các giao dịch chéo chuỗi.
Đối với thị trường DeFi rộng hơn, cách tiếp cận phục hồi của THORChain có thể đặt ra tiền lệ. Nếu ADR028 khôi phục thành công giao thức mà không làm pha loãng và không gây tổn hại lâu dài đến độ sâu thanh khoản, nó sẽ trở thành mô hình mà các dự án khác có thể tham chiếu. Nếu không thành công, nó sẽ trở thành một dữ liệu khác trong lập luận ngày càng tăng rằng cơ sở hạ tầng liên chuỗi cần kiến trúc bảo mật hoàn toàn khác với các giao thức đơn chuỗi.
Khoản thưởng để khôi phục vốn thêm yếu tố bất ngờ. Về mặt lịch sử, một số kẻ khai thác đã trả lại vốn đổi lấy thưởng và sự miễn trừ khỏi truy cứu trách nhiệm hình sự. Việc kẻ tấn công trong trường hợp này có chấp nhận thỏa thuận đó hay đã chuyển vốn qua các trình trộn và cầu nối sẽ xác định mức độ thiếu hụt 10,7 triệu USD thực sự cần được hấp thụ.