Một nhà điều hành nút lừa đảo đã rút 10,7 triệu đô la từ THORChain vào ngày 15 tháng 5 thông qua lỗ hổng GG20. Đây là dòng thời gian đầy đủ, phản hồi bảo mật và những gì xảy ra tiếp theo.
Ai đó đã tham gia Discord của nhà phát triển THORChain vào ngày 1 tháng 5 với tên gọi Dinosauruss. Tài khoản vẫn còn mới. Các câu hỏi rất cụ thể – làm thế nào để đưa một nút vào mạng và nhanh như thế nào. Khoảng thời gian rời bỏ ba ngày thông thường đã bị trì hoãn vì những lý do không liên quan, điều đó có nghĩa là phải chờ đợi.
Theo Báo cáo khai thác THORChain số 1, được xuất bản vào ngày 20 tháng 5, địa chỉ nút của kẻ tấn công (n84q) cuối cùng đã vào bộ xác thực hoạt động vào ngày 13 tháng 5. Khoảng 635.000 RUNE trên hai địa chỉ trái phiếu. Được gán ngẫu nhiên cho một trong năm kho tiền, giống như bất kỳ toán tử nào khác.
Nút đã vào và không bao giờ rời đi
Trong hai ngày, nút đã tham gia các buổi lễ ký kết GG20 thường lệ. Không có gì xuất hiện bất thường. GG20, hay Gennaro-Goldfeder 2020, là sơ đồ chữ ký ngưỡng THORChain sử dụng để phân phối quyền kiểm soát khóa vault giữa các nhà khai thác độc lập. Không có nút nào giữ toàn bộ khóa riêng – trong điều kiện bình thường.
Lỗ hổng đã thay đổi điều đó. Thông qua rò rỉ vật liệu khóa lũy tiến qua nhiều vòng ký kết, kẻ tấn công được cho là đã xây dựng lại toàn bộ khóa riêng của kho tiền. Khi quá trình tái thiết hoàn tất, các giao dịch gửi đi được ký kết và phát sóng trực tiếp, hoàn toàn bên ngoài buổi lễ GG20.
Công cụ kiểm tra khả năng thanh toán phản ứng đã phát hiện ra sự khác biệt trong vòng vài phút. Nó phát hiện ra rằng số dư dự kiến vượt quá số dư thực tế trên chuỗi hơn 1% trên nhiều chuỗi, gây ra việc tạm dừng tự động trên ETH, AVAX, BSC, BASE, DOGE và GAIA mà không có sự tham gia của con người. Số tiền, theo ước tính ban đầu, khoảng 10 triệu USD, đã được chuyển đi.
Sự bất hòa bùng lên trước khi có phản hồi chính thức
Khi hoạt động mạng bị đình trệ, một thành viên cộng đồng đã gắn cờ các giao dịch bất thường: nhiều lần gửi từ bộ định tuyến TC đến địa chỉ Ethereum không có bản ghi nhớ. Bài đăng đó đã trở thành báo động đầu tiên do con người khởi xướng. ZachXBT, trên X, cảnh báo cộng đồngrằng THORChain có thể đã mất hơn 10 triệu đô la trên Bitcoin, Ethereum, BSC và Base.
Node xuuu là người đầu tiên đặt lệnh tạm dừng 720 khối thủ công. Những người khác xếp chồng lên nhau nhiều lần tạm dừng liên tiếp. Hệ thống quản trị THORChain được thiết kế chính xác cho mục đích này: một nút duy nhất không thể khóa mạng vô thời hạn, nhưng nhiều nút độc lập hoạt động nhanh có thể duy trì trạng thái tạm dừng đủ lâu để điều tra. Vào ngày 15 tháng 5, khoảng 18 đến 20 nút xếp chồng lên nhau tạm dừng đồng thời.
Các cuộc bỏ phiếu quản trị Mimir chính thức diễn ra sau Discord. Ngưỡng ba phiếu bầu cho các thông số vận hành đã được đáp ứng. HALTCHADING được kích hoạt tại khối 26183438. HALTSIGNING tại khối 26183439. HALTCHAINGLOBAL tại khối 26183590. HALTCHURNING tại khối 26183849 — đó là nút cuối cùng đặc biệt để ngăn chặn nút độc hại thoát khỏi mạng.
Toàn bộ mạng đã bị khóa trong vòng khoảng hai giờ kể từ khi cộng đồng đưa ra cảnh báo.
Những gì cuộc điều tra tìm thấy và những gì nó giữ lại
Tuyên bố công khai đầu tiên của nhóm phát triển được đưa ra vào lúc 11:01 ngày 15 tháng 5, ước tính thiệt hại là 7,4 triệu USD và liệt kê ba nguy cơ đang được điều tra: lỗ hổng GG20, xâm phạm cơ sở hạ tầng và các nguy cơ khác. Các nhà khai thác nút được yêu cầu kiểm tra cơ sở hạ tầng và gửi nhật ký Bifröst.
Đến 19h10 cùng ngày, hình ảnh đã rõ ràng hơn. Điều tra trên chuỗi đã liên kết địa chỉ nút độc hại thor16ucjv3v695mq283me7esh0wdhajjalengcn84q với các địa chỉ Ethereum đã nhận được số tiền bị đánh cắp. Con số tổn thất đã sửa đổi là khoảng 10,7 triệu USD. Theo báo cáo chính thức, sự phối hợp với Outrider Analytics và cơ quan thực thi pháp luật đã được tiến hành.
các Bối cảnh bảo mật DeFi năm 2026đã chứng kiến khoản lỗ 620 triệu USD chỉ trong tháng 4. Sự cố của THORChain đã làm tăng thêm mối lo ngại xung quanh các lỗ hổng lớp mật mã trong cơ sở hạ tầng chuỗi chéo.
Bản vá đã được phát hành, quá trình khôi phục vẫn mở
Vào ngày 16 tháng 5, nhóm tiếp thị đã đưa ra cảnh báo lừa đảo. Các chương trình airdrop và hoàn tiền giả mạo đã lan rộng trên các phương tiện truyền thông xã hội. THORChain xác nhận rằng họ không có chương trình hoàn tiền hoặc airdrop đang hoạt động.
Đến ngày 18 tháng 5, bản vá v3.18.1 sắp ra mắt. Nhóm phát triển cho biết họ hiểu rõ về cuộc tấn công nhưng sẽ giữ lại các chi tiết kỹ thuật cụ thể cho đến khi các dự án khác sử dụng cùng cách triển khai GG20 có thể được cảnh báo một cách lặng lẽ và vá lỗi hệ thống của riêng họ. Tất cả các nhà khai thác nút đều được yêu cầu giảm quy mô nhóm Bifröst trước khi phát hành.
Con đường phục hồi hoàn toàn thuộc về quản trị cộng đồng. ADR-028, Bản ghi Quyết định Kiến trúc hiện đang được mở để thảo luận, sẽ xác định cách xử lý số tiền bị mất. Các lựa chọn đang được tranh luận bao gồm cắt giảm trái phiếu và hấp thụ thanh khoản thuộc sở hữu của giao thức. Phương pháp đã chọn dự kiến sẽ được triển khai trong phiên bản 3.19.
THORChain đã xác định DKLS, một sơ đồ chữ ký ngưỡng hiện đại hơn, làm mục tiêu mã hóa dài hạn của nó. Silence Labs đã tham gia vào tháng 11 năm 2025 để xây dựng phương thức triển khai DKLS tùy chỉnh với các lệnh hủy có thể nhận dạng. Dự kiến giao hàng là Quý 1/Quý 2 năm 2026. GG20 vẫn được sản xuất trong thời gian này. Kẻ tấn công đã đến vào tháng Năm.
Nguồn: Live Bitcoin News
Để lại một bình luận