THORChain 在其一個 Asgard 金庫因遭攻擊而被盜取約 10.7 萬至 10.8 萬美元後,已暫停交易與簽署活動。此消息根據該協議與安全研究人員的聲明。
在5月15日發布的公告中,THORChain 表示,網絡自動檢測到異常活動,並暫停了簽名操作,以防止額外的轉出交易。
協議表示:
- 六個阿斯加德金庫之一似乎已遭入侵,
- 用戶流失活動已暫停,
- 節點運營商已被要求審查基礎設施、密鑰管理系統和運營安全,以檢查是否存在被入侵的跡象。
THORChain 表示,初步跡象顯示用戶資金未直接受影響,損失似乎僅限於協議自有資金。
Ledger 首席技術官指出可能存在 TSS 漏洞
查爾斯·吉爾梅特建議,此事件可能涉及與門檻簽名方案(TSS)基礎設施相關的弱點。
根據 THORChain 貢獻者 JP Thor 的評論,Guillemet 表示這次攻擊「可能是涉及 GG20 的 MPC 攻擊」。這是一種用於某些多方計算 [MPC] 錢包系統的門檻簽名協議。
THORChain 的金庫依賴 TSS,這是一種加密系統,可讓多個節點共同產生簽名,而無需在單一地點重建完整的私鑰。
然而,吉勒姆指出,早期的 GG18/GG20 系列協議歷史上曾面臨關鍵漏洞,包括:
- CVE-2023-33241,
- 以及 TSSHOCK。
他指出,在一些先前記錄的攻擊情境中,單一被入侵的共同簽署者即可重建足夠的資訊以恢復完整的簽署密鑰。
AI輔助攻擊可能正在改變驗證者的安全假設
吉勒梅特分析中較為顯著的部分聚焦於人工智慧與基礎設施安全。
他警告說,隨著大型語言模型輔助的漏洞發現和攻擊程式生成技術的進步,可能會降低原本被認為難以攻擊的驗證器基礎設施被入侵的難度。
根據 Guillemet 的說法,一個潛在的攻擊情境可能包括:
- 入侵驗證節點,
- 等待它加入一個活躍的金庫,
- 在密鑰生成或簽名期間利用格式錯誤的簽名證明,
- 並離線重建金庫密鑰。
同時,他警告稱,此次攻擊的確切根本原因仍不明確,並表示調查人員尚未確認是否涉及已知的 GG20 弱點或此前未發現的漏洞。
調查仍在進行中
THORChain 的貢獻者表示,調查仍在進行中,隨著修復工作的持續,將會發布更多更新。
此事件進一步引發了對 MPC 和 TSS 基礎設施安全假設的日益增加的審視,這些技術正被廣泛應用於跨鏈協議、託管系統和機構加密基礎設施中。
最終摘要
- THORChain 在金庫遭攻擊、約 1080 萬美元的協議自有資金被盜後,已停止交易。
- 安全研究人員與 Ledger 首席技術官 Charles Guillemet 表示,此事件可能涉及與 MPC/TSS 簽名基礎設施相關的弱點。