五年内遭遇三次重大攻击、一度资不抵债、卷入朝鲜洗钱风波,甚至连联合创始人的个人钱包都未能幸免——THORChain的故事充满了戏剧性。然而,2026年5月15日的这次攻击,并非源于未知的“零日漏洞”,而是一个本可避免的悲剧:一个已知漏洞的补丁,在代码库中静躺了九天却未被部署。
当日,THORChain的多个Asgard金库在数条链上被迅速掏空,损失高达1070万美元。尽管其自动偿付检查机制及时触发了网络暂停,但为时已晚,资金已然流失。
链上侦探ZachXBT最早拉响了警报。随后,安全机构PeckShield确认了损失,涉及比特币、以太坊、BNB Chain等多个区块链上的资产。攻击者手法娴熟,目标明确,将盗取的资产汇聚至其控制的地址。
漏洞根源:陈旧的加密库与缺失的补丁
根据技术分析,攻击的核心在于THORChain用于保护金库的门限签名方案(TSS)实现存在漏洞。该方案依赖的`tss-lib`库是一个分叉版本,被指出在安全更新上已落后主流数年。
更令人扼腕的是,早在攻击发生前九天(5月6日),一个标题为“签署完整的ObservedTx包装器以防止提议者伪造”的修补提交(commit)已被创建在GitLab上。然而,这个关键的补丁却从未被部署到生产环境中。
“九天的时间,隔开了一个已提交的补丁和1070万美元的损失——这其中的责任,究竟该由谁承担?”
安全研究员指出,攻击者可能利用了与GG20协议相关的已知漏洞(如CVE-2023-33241或“TSSHOCK”),这些漏洞允许恶意参与者逐步积累密钥材料,最终重构出完整的金库私钥。
攻击链条:一次耐心的渗透
攻击并非一时兴起。据Chainalysis分析,攻击者的筹备活动可追溯至4月下旬。攻击者通过门罗币(Monero)获得初始资金,随后质押RUNE成为节点运营商,并耐心等待被随机选入负责守护金库的验证者组。
5月13日,一个由攻击者控制的节点成功进入活跃验证者集。在随后两天的正常签名活动中,该恶意节点利用漏洞,逐步收集到了足以重构密钥的必要信息,最终发起 unauthorized transfer。
审计与安全的悖论
THORChain并非不重视安全。在2021年遭受攻击后,它曾聘请Halborn和Trail of Bits等顶级安全公司进行审计和渗透测试,并实施了多项加固措施。
然而,问题在于审计的焦点发生了偏移。2025年进行的八次安全评估,全部集中于其应用层(Rujira)的智能合约,而作为金库安全基石的底层TSS加密库,自2021年以来却未再经过全面的重新审计。正是这个陈旧的库,包含了后来被公开披露的严重漏洞。
余波与反思
攻击发生后,THORChain迅速冻结了网络,并启动调查。保护失窃金库的节点运营商其质押的RUNE将被罚没。官方声明强调,用户资金未受影响,损失的是协议自身的资金。
联合创始人jpthor公布了应对计划:首先修补GG20漏洞,然后将所有ECDSA协议迁移至更安全的DKLS方案,最终目标是迁移至FROST协议。
此次事件再次引发了关于去中心化协议运维责任的深刻讨论。当漏洞已知、补丁已备,却因部署延迟而导致巨额损失时,仅仅依靠“韧性”和“学习经验”的说辞已无法令人信服。THORChain的未来,不仅在于它能否再次从废墟中重建,更在于它能否建立起真正的问责机制与前瞻性的安全文化。
注:本文内容基于公开事件报道与分析。THORChain的完整事故报告及后续恢复计划尚待官方进一步发布。