THORChain 於 5 月 15 日因一名惡意節點操作者利用協議閾值簽名方案的漏洞,損失約 1070 萬美元。現在該項目已制定計劃來彌補損失,且不涉及發行更多代幣。
稱為 ADR028 的恢復提案,承諾首先透過協議擁有的流動性來彌補損失,任何剩餘的缺口將按比例分攤給合成資產持有者。不會鑄造或出售任何新的 RUNE。對於現有持有者來說,這是最關鍵的細節。
發生了什麼以及如何被制止
攻擊者是一名新加入的節點運營商,於攻擊前兩天才進入 THORChain 網絡。這段短暫的時間足以讓其針對 GG20 閾值簽名方案發動攻擊,該加密系統管理著 THORChain 去中心化基礎設施中金庫密鑰的運作。
THORChain 使用一個系統,由多個節點運營商共同控制金庫密鑰,因此任何單一方都無法單獨訪問資金。攻擊者發現了該系統中的漏洞,能夠重建關鍵的金庫私鑰,實質上破解了協議金庫的鎖。
好消息是,THORChain 的自動資產負債檢查系統在幾分鐘內發現了異常。交易與簽名操作已暫停,節點運營商協調在約兩小時內完全凍結了網絡。這一速度阻止了可能更大規模的資金流失。
根據協議,沒有直接損失影響用戶資金或流動性提供者持倉。THORChain 的 Mimir 治理系統實現了快速響應,該系統允許節點運營商在無需等待漫長治理週期的情況下調整關鍵參數。這就像一個真正有效的緊急制動系統。
恢復計劃:ADR028
以下是 ADR028 的結構。第一道防線是協議擁有的流動性,即協議自身資本儲備,存在於其流動性池中。POL 會盡可能吸收 10.7 百萬美元的損失,然後才啟動其他機制。
POL 無法覆蓋的部分將按比例分配給合成資產持有者。THORChain 上的合成資產是協議池中如比特幣或以太坊等資產的衍生產品表示。這些合成資產的持有者將承擔剩餘虧損的按比例份額。
ADR028 中關鍵的承諾是它明確不會做的事:發行新的 RUNE 代幣。在遭到駭客攻擊後,許多協議都採用通貨膨脹措施來重新資本化,實際上讓每個現有代幣的價值略微降低以彌補缺口。THORChain 持有持倉立場,認為稀釋持倉者是不可接受的。
這很重要,因為在遭受攻擊後進行代幣稀釋已成為 DeFi 中的一種常見模式。這是最容易採取的手段,但卻懲罰了那些堅持留下的用戶。通過提前排除這種做法,THORChain 不僅做出了財務上的聲明,也做出了治理上的聲明。
該協議還為願意協助追回被盜資金的白帽駭客提供了獎金,這是在事件發生後恢復中常見但通常有效的標準做法。作為事件發生後不久發布的臨時修復措施,正在實施針對 GG20 TSS 漏洞的額外安全補丁。
更廣泛的跨鏈風險模式
跨鏈協議佔據了去中心化金融中一個特別危險的角落。根據設計,它們在不同區塊鏈之間橋接資產,這意味著它們必須同時管理跨越多個網絡的密鑰、簽名和共識機制。每增加一個區塊鏈,就多了一個攻擊面。
自2021年以來,區塊鏈領域因攻擊事件損失了數十億美元,而跨鏈橋樑一直是最受針對的基礎設施之一。THORChain 本身在過去幾年也曾遭遇安全事件,因此此次攻擊是持續性挑戰的一部分,而非單一事件。
看,對於一個去中心化系統來說,兩小時的回應時間和自動化資產負債檢查確實令人印象深刻。大多數傳統金融機構都難以如此迅速地識別並控制漏洞。但事實是,一位僅在 48 小時前加入的節點運營者就能重建金庫密鑰,這引發了關於入圍安全性和輪換過程中內建信任假設的嚴重疑問。
這對投資者意味著什麼
ADR028 中的無稀釋承諾是對投資者最相關的細節。RUNE 持有者無需透過通脹來承擔損失,從而維持了代幣的供應動態。在協議金庫和代幣經濟可能在遭到駭客攻擊後一夜之間發生變化的市場中,這種明確的保證具有重要意義。
但信心不能僅靠承諾建立。投資者應觀察 THORChain 如何有效修復 GG20 TSS 漏洞,以及協議是否對新節點運營商實施更嚴格的要求。在加入網絡後兩天內便執行了 1070 萬美元的攻擊,這表明對惡意參與者的進入門檻亟需大幅加強。
亦需關注承擔比例損失的合成資產持有者。若 POL 儲備金無法覆蓋全部 1070 萬美元,合成持倉的折價可能影響 THORChain 各池的流動性與交易活動。流動性降低通常會擴大點差,使該協議在跨鏈交換中較缺乏競爭力。
對於更廣泛的 DeFi 市場而言,THORChain 的恢復方法可能樹立先例。如果 ADR028 成功在不稀釋的情況下恢復協議,且未對流動性深度造成持久損害,它便成為其他項目可參考的範本。如果未能達成目標,則它將成為日益增多的證據之一,表明跨鏈基礎設施需要與單鏈協議根本不同的安全架構。
資金追回的懸賞增加了不確定性。歷史上,一些攻擊者曾以返還資金為條件,換取懸賞和免於起訴。此次攻擊者是否接受此協議,或已透過混幣器和橋樑轉移資金,將決定實際需要承擔的 1070 萬美元虧損金額。