THORChain 在 5 月 15 日遭遇 1,070 萬美元的攻擊後,經過超過一個月的安全審查,恢復運作。這個去中心化跨鏈流動性網路在部署安全升級、驗證節點 keyshares,並將資產遷移到新的 vault 架構後,恢復了交易、互換、交易簽署,以及流動性提供者功能。此次攻擊源自 THORChain 的 GG20 閾值簽章(threshold signature)機制中的一項弱點,使惡意節點營運者得以重建私鑰並存取協定資金。
THORChain 針對 GG20 弱點進行位址修正並部署緊急補丁
該攻擊被追溯到 THORChain 的 GG20 閾值簽章(threshold signature)機制中的一項弱點。這是一種安全機制,旨在透過在多個節點營運者之間分散金鑰控制來保護協定 vault。根據開發團隊表示,該缺陷使惡意的節點營運者能透過一個被描述為漸進式金鑰物質洩漏(progressive key material leakage)的過程,逐步重建完整私鑰,最終得以未經授權存取協定資金並竊取約 1,070 萬美元。
THORChain 立即暫停運作,並在 5 月 20 日部署緊急補丁,以保障正在運行的 vault,並避免進一步損失。協定於 6 月 9 日發布重大軟體升級,修補遭利用的弱點,並強化整體網路安全框架。6 月 11 日的後續更新則帶來穩定性改善,並強化 KeyVerify 協定。
協定完成 Vault 遷移與 KeyVerify 流程
THORChain 完成了對每個節點的 keyshare 之驗證,並透過 KeyVerify 系統確認多數協定 vault 的安全性。網路在復原流程的一部分中,淘汰其剩餘的既有(legacy)vault,並將資產遷移到新的 vault 架構。
THORChain 是加密產業中規模最大的跨鏈交易協定之一,讓使用者可在多個區塊鏈生態系之間(包含 Bitcoin 與 Ethereum)交換資產,而不需依賴中心化中介。由於網路犯罪分子先前曾使用其跨鏈基礎設施來移動並交換被盜數位資產,該協定因此引起了區塊鏈調查人員的關注。
THORChain 宣布 Zcash、Monero 與 TAO 整合時程
該協定透露,計劃在未來兩週內推出針對隱私導向加密貨幣 Zcash(ZEC)的原生互換(native swaps)與 vault 支援。預計在不久之後也會提供另一個以隱私為導向的數位資產 Monero(XMR)的支援。THORChain 也計劃在網路重啟後約六週內整合 Bittensor 的 TAO 代幣,以擴充其去中心化流動性生態系中可用資產的範圍。
FAQ
5 月 15 日造成 1,070 萬美元的 THORChain 漏洞是什麼原因?
該攻擊是由 THORChain 的 GG20 閾值簽章(threshold signature)機制中的一項弱點所致。此弱點使惡意節點營運者能透過漸進式金鑰物質洩漏(progressive key material leakage)逐步重建完整私鑰,從而讓未經授權的存取協定資金成為可能。
THORChain 在攻擊後何時部署安全升級?
THORChain 在 5 月 20 日部署緊急補丁,6 月 9 日發布重大軟體升級,並在 6 月 11 日推出後續穩定性更新,以修補該弱點並強化網路安全框架。
在恢復運作後,THORChain 將支援哪些新資產?
THORChain 計劃在未來兩週內推出 Zcash(ZEC)的原生互換與 vault 支援,隨後不久將支援 Monero(XMR),而在網路重啟後約六週則會整合 Bittensor 的 TAO 代幣。
