作者: Rekt
編譯:深潮TechFlow
深潮導讀:五年三次被竊、2 億美元資不抵債、幫北韓洗12 億美元,甚至創辦人jpthor 的個人錢包都被北韓駭客用假會議騙了120 萬。這次不是運氣不好,而是已知漏洞的補丁存在代碼庫裡九天卻沒人部署——當維護推遲變成常態,責任該算在誰頭上?
五年三次被盜。還有一次2 億美元的資不抵債危機。再加上為北韓洗掉的12 億美元。
THORChain 和北韓的關係,比大多數協議願意承認的都要深。
北韓甚至回報了這份情誼,在2025 年9 月透過假會議騙局從聯合創始人jpthor 的個人錢包裡提走了120 萬美元。
這不像是通往成功的配方,反而更像是災難的預兆。
然後在5 月15 日早上,又有1,070 萬美元被盜。
到某個時刻,問題已經不再是"這是怎麼發生的",而是"為什麼還有人期待會不一樣"?
2026 年5 月15 日,THORChain 的Asgard 金庫在多條鏈上被快速抽乾。
THORChain 自己的自動償付檢查器觸發了暫停——這是從2021 年7 月的慘案中誕生的唯一安全升級——並凍結了網路12 小時42 分鐘。
金庫的設計沒問題。資金還是沒了。
RUNE 在世界大部分人讀完ZachXBT 的Telegram 貼文之前就跌了15%。
市值在幾分鐘內蒸發了2700 萬美元。
這是一個曾經盯著深淵並繼續建造的協議。但把同一個傷口一次次稱為"學習經驗"是有限度的。
當漏洞類型已經被記錄,補丁已經存在,資金還是沒了的時候,推遲維護什麼時候從疏忽變成了過失?
ZachXBT 首先看到。
5 月15 日早些時候,他的Telegram 頻道發布了一條社群警報:THORChain 很可能在比特幣、以太坊、BSC、Base 上被攻擊,損失超過1070 萬美元。
TRM Labs 後來將確認的範圍擴大到至少九條鏈——在最初的四個基礎上增加了Avalanche、Dogecoin、Litecoin、Bitcoin Cash 和XRP——並將總損失上調到超過1100 萬美元。
Arkham 標記了攻擊者錢包。
但抽乾已經完成了。
PeckShield 公開確認:約1000 萬美元被抽乾,包括36.75 BTC 和約700 萬美元的資產,分佈在BNB Chain、以太坊和Base 上。
THORChain 自己的基礎設施在團隊之前就已經動了。
THORChain 的Mimir 治理模組將交易暫停和簽名暫停參數翻轉為活躍狀態,節點暫停從區塊26190429 開始運行約12 小時42 分鐘。
不需要人類做決定。
在ZachXBT 宣布後超過5 小時,THORChain 發布了一份官方聲明,確認鏈上數據已經說明的事情:六個Asgard 金庫中的一個被攻破了。 1070 萬美元沒了。
保護受影響金庫的節點營運商因未經授權的轉出交易而被削減質押的RUNE。輪換暫停。鏈上架無限期延後。初步跡象顯示沒有個人用戶的交易受到影響。
THORSwap 和Metro.exchange 立即停止了THORChain 路由。
Maya Protocol 出於謹慎暫停。
ATOM 交易陷入黑暗。
替代提供者——Chainflip、NEAR Intents、Harbor、Flashnet、Garden、1inch——繼續運行,未受影響。
當生態系統爭先恐後時,鏈上記錄已經在講述一個不同的故事。
在指向原因的最早訊號中:banteg 標記了一個對THORNode 的GitLab 提交,創建於5 月6 日——攻擊前九天——標題為"簽署完整的ObservedTx 包裝器以防止提議者偽造"。
補丁是存在的。它有名字和時間戳。它從未發布。
這個提交將被證明是更大織物中的一條線,不是根本原因,但是已知和已做之間差距的早期指標。
九天分隔了一個已提交的補丁和1070 萬美元的損失——那麼,到底誰對這個差距中存在的東西負責?
一個節點,一個金鑰,一次清掃
THORChain 的金庫由閘限簽名方案(TSS)保護,這是一種多方運算形式,其中法定人數的節點共同產生密碼簽名,而沒有任何單一節點擁有完整的私鑰。
理論上是分散式信任。實踐中,只有和法定人數中每個聯署人一樣強。
設置在抽乾前幾週就開始了。一個新創建的Discord 帳號——"Dinosauruss"——在5 月1 日加入了THORChain 開發者Discord,詢問如何盡快讓節點輪換進入網路。
由於無關的原因,正常的三天輪換間隔被推遲了,迫使攻擊者等待。 5 月13 日,攻擊前兩天,一個在兩個質押地址上擁有約63.5 萬RUNE 的全新節點運營商輪換進入活躍驗證者集,並被隨機分配到五個金庫之一。
在接下來的兩天裡,該節點參與了常規的GG20 簽名儀式,獲得了它所需的一切。
THORChain 的確認發現:攻擊者利用了GG20 TSS 實作中的一個漏洞,該漏洞允許金庫參與者的敏感金鑰材料隨時間洩漏。
透過在簽名輪次中累積足夠的洩漏材料,攻擊者重建了金庫的完整TSS 私鑰,並直接執行了未經授權的轉出交易。
主動償付檢查器在簽名前檢查資不抵債。沒有簽名可以捕獲。當金庫出現短缺時,被動檢查器啟動了,那時資金已經沒了。
償付檢查器依設計運作。攻擊只是繞過了它監控的層。
要理解為什麼攻擊者能先重建金鑰,你必須理解THORChain 在運行什麼。
GG20 是一個廣泛使用的門限ECDSA 協議,通常用於與比特幣和以太坊互動的系統。
它也有記錄在案的關鍵漏洞歷史。
CVE-2023-33241 和TSSHOCK,都在2023 年披露,是密鑰提取攻擊,只需要一個被攻破的聯署人就能重建完整的私鑰——悄無聲息,不觸發中止,在正常協議操作中不留痕跡。
針對THORChain 使用的具體機制尚未被公開確認與任何CVE 匹配,但兩者都說明了該庫容易受到的攻擊類別。
THORChain 的TSS 運行在幣安tss-lib 實現GG20 的分叉上。
正如Taylor Monahan 在攻擊被標記後不久指出的那樣:"天哪,看起來THORChain 運行的tss-lib 落後了大約3 年和2 個以上的主要安全版本。"
banteg 在攻擊後第二天發布了最詳細的技術分析,直接檢查了THORChain 部署的分叉,tss-lib v0.1.6,提交287e1e2,用於thornode v3.18.0。
他的發現:金鑰產生路徑接受並持久化對等Paillier 材料,而沒有建立良好形成的兩素數Paillier 模數的MOD/FAC 證明族。
因此,惡意節點可以註冊一個2048 位元的Paillier 模數,該模數透過庫執行的每個檢查,同時包含攻擊者已知的因子。
一旦誠實節點持久化了該畸形密鑰,觸及它的每個簽名輪次都會暴露被檢查代碼中的預言機形狀,洩漏其他參與者長期簽名份額的殘差,攻擊者可以離線積累和組合。
他的線束測試證實了被檢查代碼中的預言機形狀。
jpthor 早就看到了這一點,在暫停後幾小時內將GG20 標記為最可能的解釋。
Charles Guillemet 闡述了更廣泛的結構問題:在每個已發布的GG18 和GG20 攻擊中,一個惡意或被攻破的聯署人就足夠了。
不是多數,不是法定人數,一個。
如果單一參與者是惡意的,分散式金鑰安全的整個前提在聯署人層就崩潰了。
jpthor 此後制定了一個三步驟路線圖:修補GG20 讓THORChain 重新上線;將所有ECDSA 協定遷移到DKLS;然後將比特幣簽名遷移到FROST。
他將GG20 描述為一個"黑盒子",有"許多脆弱的假設","將永遠是一個黑盒子",這是公共記錄中最接近內部承認的東西。
THORChain 在2025 年11 月與Silence Labs 合作建立客製化的DKLS 實現,目標交付時間為2026 年第一季/第二季度,這就是GG20 在攻擊時仍在生產中的原因。那項工作還沒完成。
THORChain 的輪換機制,即驗證者定期輪換進出活躍Asgard 金庫的過程,使這成為可能。
沒有它,惡意運營商就沒有路徑加入金庫、參與簽名儀式並累積密鑰材料。攻擊者不需要破解密碼學。他們只需要進入房間。
調查與THORSec 和Outrider Analytics 一起繼續。
已聯繫執法單位。攻擊者身分仍然未知。
一份攻擊報告於5 月20 日發布。一旦調查完成並最終確定恢復計劃,將發布後續報告。
已知的是節點地址、質押錢包和接收錢包之間的鏈上聯繫,以及確認的機制——一個落後數年的密碼庫,運行在一個包含實現缺陷的分叉上,該缺陷能夠將金庫密鑰材料洩漏給一個耐心的惡意運營商。
惡意節點:
thor16ucjv3v695mq283me7esh0wdhajjalengcn84q
THORChain 的輪換機制存在是為了輪換信任,有人用它來爭取時間。
那麼DeFi 中有多少其他基於GG20 的金庫坐在同樣未打補丁的庫上,等待下一個耐心的運營商?
清掃乾淨
多條鏈,數十個代幣,一個地址。
無論是誰做的,都確切知道一切在哪裡,並以一種不暗示即興發揮的精確性移動。
在網路暫停完全傳播之前,以太坊、BNB Chain 和Base 上的每個ERC-20 代幣都被匯集到攻擊者控制的地址。比特幣並行移動。
當ZachXBT 發布他的警報時,整合已經完成。
QuillAudits 在5 月19 日發布了完整的逐鏈分解。
抽乾情況如下...
以太坊上的惡意行為
從金庫抽乾的穩定幣、藍籌DeFi 代幣和協議原生資產:
1,756,756.02 USDT · 1,261,986.53 USDC · 73,768,463.86 XRUNE · 3,349,323.54 THOR · 5.206 WBTC · 64,138.54 THOR · 5.206 WBTC · 64,138.477 4671,006 38,762.45 USDP · 1,044.06 LINK · 4,567.54 DAI · 78.10 AAVE · 1,514.92 SNX · 481,996.68 FOX · 1.057 YFI3 111.
攻擊者地址:
0x82fc0d5150f3548027e971ec04c065f3c93154eb
THORChain 金庫:
0x82a5CF67F3e6970C0529122178075C0a94878bDA
轉出交易:
在Etherscan 上查看全部
資金發送至此(約677 萬美元):
0xd477b69551f49C0519F9B18c55030676138890Bd
BNB 上的惡意行為
抽乾的多樣化代幣籃子,包括穩定幣、包裝BTC 和ETH 等價物:
274,256.09 USDC · 125,117.17 BSC-USD · 32,144.23 BUSD · 32,980.44 TWT · 15.615 ETH · 0.509 BTCB
攻擊者地址:
0x82fc0d5150f3548027e971ec04c065f3c93154eb
THORChain 金庫:
0x82a5cf67f3e6970c0529122178075c0a94878bda
轉出交易:
在BSCscan 上查看全部
比特幣上的惡意行為
總計超過40 BTC(約326 萬美元)的兩筆轉出交易:
36.85351435 BTC · 3.87429558 BTC
攻擊者地址:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37
THORChain 金庫:
bc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvm7zhyv
轉出交易:
在mempool.space 上查看全部(向下滾動到交易)
Avalanche 上的惡意行為
抽乾的Avalanche 穩定幣和SOL 等價資產:
238,325.94 USDC · 43,041.25 USDT · 388.94 SOL
攻擊者地址:
0xd477b69551f49C0519F9B18c55030676138890Bd
THORChain 金庫:
0x82A3580296b014c27cFe6be23Ed471c30D878Bda
轉出交易:
0xd477b69551f49C0519F9B18c55030676138890Bd
Base 上的惡意行為
單筆轉出交易抽乾的USDC:
55,912.41 USDC
攻擊者地址:
0xd477b69551f49C0519F9B18c55030676138890Bd
THORChain 金庫:
0x82a5cf67f3e6970c0529122178075c0a94878bda
單次抽乾交易:
0x4370739cf3f443fe129727ea1a9e215783d881c643f3ea1d12ce822aeb3e6af8
Dogecoin 上的惡意行為
在兩筆幾乎相同的轉出交易中抽乾的近782 萬DOGE(約90 萬美元):
3,911,749.91 DOGE · 3,911,751.03 DOGE
攻擊者地址:
DBLJWFemMHbduKofBRg6TJ9XFAgWdvFCjS
THORChain 金庫:
DDL3tEh5P5vjSCNyU7t7sz9DQykRnr97d2
轉出交易:
在BlockChair 上查看
Litecoin 上的惡意行為
從金庫抽乾的LTC:
6,866.74772083 LTC
攻擊者地址:
ltc1qg0h4rz5kf27fkr99gamw4heg20rfz5epd7m7wh
THORChain 金庫:
ltc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvlzcnuu
單次抽乾交易:
F5985741ef6d7418cd2f0f4e909b6f0d525f18c6010cca48d846731f23972bd4
Bitcoin Cash 上的惡意行為
單筆交易中從金庫轉出的BCH:
638.52948245 BCH
攻擊者地址:
qpp775v2je9texcv54rhd6kl9pfudy2nyyz4df2uvc
THORChain 金庫:
qpvaxhtcpkc8038ape3p3nuvlgd7makwds74qyng5p
轉出交易:
在Blockchain 上查看
XRP 上的惡意行為
在兩筆交易中抽乾的XRP:
25,404.922305 XRP · 16.999982 XRP
攻擊者地址:
rwoGBrYEJ28jhBjchrTyCGXd1Pt4pobFBz
THORChain 金庫:
r9BxLykSngpSuUU4jXtZLDycXip3Suo7Rf
轉出交易:
在XRPScan 上查看
TRON 上的惡意行為
89,172 TRX 透過SunSwap 兌換成31,215 USDT,橋接到以太坊-13.9 ETH 交付到已知的ETH 洗錢中心。
TRON 簽名、交易和償付檢查在Mimir 中停止並停用,與確認抽乾鏈的模式相符。
攻擊者地址:
TXmo5sdVCvQnJgbvjAUpQJfyNx5EnqtAM3
THORChain 金庫:
TMt1UgzBNKETQMgGckJDomcMQhvwhGUiXo
TRON 抽乾交易:
0ee50dd1af24c08a2f73fab18dd96897fcd6c08cfca0a6397b519c8fe1fdf1f4
ETH 交付:
0x09c4bc73fddaac5697a609cb448cefc26e13ccba22ce1b762b309b010e0db5f4
資金發送至以太坊地址:
0x82fc0d5150f3548027e971ec04c065f3c93154eb
THORChain 的官方聲明確認,保護被攻破金庫的節點營運商因未經授權的轉出交易而被削減質押的RUNE。
協議擁有的資金流失了。根據團隊的初步評估,沒有個人用戶的交易受到影響。削減機制起作用了。金庫沒有。
攻擊看起來是突然的,但其實不是。
Chainalysis 在5 月15 日發布了一個五部分的線程,映射了從4 月下旬開始的數週準備活動——攻擊者通過Monero 資助進入,為成為攻擊載體的節點質押RUNE,並在抽乾前43 分鐘向最終接收錢包交付8 ETH。
多條鏈。一個耐心的運營商。三週的準備。網路在看起來有問題的那一刻就自己暫停了。那時,攻擊者已經完成了。
當你的安全性的最佳之處是它確認損害的速度有多快時,這意味著什麼?
審計過,只是不在那裡
THORChain 有審計師。
它在2021 年漏洞發生後透過ImmuneFi 啟動了漏洞賞金計劃,後來在有爭議的情況下離開ImmuneFi,轉向自主託管的計劃,該計劃本身在2026 年3 月退役,也就是漏洞發生前兩個月。
它有認真對待安全的歷史,在2021 年的災難後同時聘請了Halborn 和Trail of Bits,完成了一個五管齊下的恢復計劃,包括紅隊測試、協議加固和正式審計簽署,然後才重新啟動。
這些都沒有問題。有問題的是審計指向了哪裡。
2021 年漏洞發生後,Trail of Bits 對THORChain 的核心協議進行了完整程式碼審計——THORNode、Bifrost 跨鏈橋程式碼,以及至關重要的支撐TSS 金庫系統的tss-lib 實作。
Halborn 進行了單獨的滲透測試,涵蓋THORNode 堆疊、Bifrost 和金庫安全性——包括對閾值多簽實現的審查。
兩者都給出了及格分數。發佈時沒有未解決的嚴重漏洞。
2021 年12 月,Trail of Bits 更進一步,揭露了tss-lib 中Shamir 秘密共享的漏洞,這些漏洞直接影響THORChain。
THORChain 修補了它。協議重新啟動。審計變舊了。
從那以後,Halborn 一直很活躍,在2025 年1 月到11 月之間進行了八次獨立的安全評估。
每一次的範圍都是Rujira,THORChain 的智慧合約應用層:借貸合約、訂單簿DEX、質押模組、借貸池。
有用的工作。必要的工作。但與剛剛損失1,070 萬美元的那一層毫無關係。
2020 年- 早期安全工作:
CertiK · 2020 年4 月· THORChain 程式碼審查
Kudelski Security · 2020 年6 月· THORChain TSS
IOActive · 2020 年11 月· 滲透測試
2021 年- 核心協議:
Trail of Bits · 2021 年8 月· THORChain 核心+ tss-lib
Halborn · 2021 年9 月· TSS 審計
Halborn · 2021 年9 月· 狀態機、Router + Bifrost
Trail of Bits · 2021 年12 月· tss-lib Shamir 秘密共享- 漏洞披露(已修補)
2024/2025 - Bifrost 觀察層:
Zellic · 2024 年11 月· THORChain Bifrost
Zellic · 2025 年1 月· THORChain Bifrost UTXO 用戶端
2025 年- 僅Rujira 應用層:
Halborn · 2025 年1-2 月· Rujira Trade(FIN)智能合約
Halborn · 2025 年2 月· Rujira Pools(BOW)智能合約
Halborn · 2025 年3-4 月· Rujira Staking 智能合約
Halborn · 2025 年5 月· NAMI Protocol Rujira 指數產品
Halborn · 2025 年8 月· CALC Manager/Scheduler/Strategy 智能合約
Halborn · 2025 年10 月· Ghost Vault(RUJI 借貸)智能合約
Halborn · 2025 年10-11 月· Ghost Credit(信用帳戶)智能合約
Halborn · 2025 年11 月· Rujira Trade FIN v1.1 智能合約
GG20 tss-lib 分叉,也就是這次漏洞核心的加密實現,自2021 年以來沒有記錄在案的審計。更廣泛的THORChain 程式碼庫最近得到了一些關注,但都沒有觸及這一層。
Bifrost 最近得到了更多關注,Zellic 審計了觀察層,2024 年的Code4rena 競賽涵蓋了EVM 智能合約解析邏輯。
但這次漏洞核心的加密庫,Taylor Monahan 指出在安全版本上落後了數年,上次正式審查是在該程式碼庫的嚴重漏洞公開之前。
2025 年的所有評估都沒有觸及它。
TSSHOCK 和CVE-2023-33241,兩個主要的GG20 漏洞,都是在2023 年揭露的。
覆蓋tss-lib 的Trail of Bits 審計早於這兩個揭露。
協議繼續在同一個庫上運行,經歷了兩個公開的嚴重漏洞,卻沒有對該特定組件進行記錄在案的重新審計。
需要明確的是:審計是時點評估。它們在給定的範圍內,在進行審計的那一刻,證明它們被要求證明的東西。
Halborn 在2021 年並沒有發現GG20 漏洞,那時這些漏洞還沒有公開。
更難解釋的是,在這些漏洞公開後,為什麼沒有對核心協議層進行任何後續審計。
2025 年進行了八次審計,全部指向應用層,而持有金庫的加密基礎自漏洞公開之前就沒有經過正式審查。
是誰決定這是可以接受的姿態?
THORChain 撐過了一切。
2021 年十天內的兩次漏洞。一場短暫看起來像死亡螺旋的2 億美元資不抵債危機。 12 億美元的北韓洗錢事件讓其社區分裂,核心貢獻者離開。
它吸收了每一次打擊,重組結構,保持DEX 運行,並稱之為韌性。
但它從未完全吸取每次事件背後的教訓。
保護金庫的加密庫在安全版本上落後了數年。
對核心協議的最後一次審計早於目前正在調查的漏洞的公開披露。
然而2025 年發布了八次審計,每次都指向別處。
漏洞發生後不久,假的退款入口網站就在流傳,騙子瞄準剛看著自己資金消失的用戶。
到5 月18 日,THORChain 被迫發布明確的公開警告:沒有退款入口網站。請只依賴官方管道。
這個警告仍然顯示在THORChain 官網的頂部橫幅上。
一個因耐心、複雜的攻擊者而損失1070 萬美元的協議,第二天就在與收割自己受害者的機會主義者作鬥爭。
調查與THORSec 和Outrider Analytics 一起繼續進行,執法部門已介入。
5 月20 日發布了初步漏洞報告。後續報告待定。目前還沒有補償計畫。
關於如何處理損失的治理投票ADR-028 尚未結束。
完整網路重啟沒有給出時間表。
為北韓洗錢12 億美元的協議從中賺取了至少1,200 萬美元的費用,這是Chainalysis 的保守估計,稱之為中立。
當Lazarus 來襲時,節點營運商最初投票停止ETH 交易。幾分鐘內投票就被推翻了。
一位核心貢獻者辭職。網路繼續運作。
然後在5 月15 日,THORChain 自己的金庫被掏空,這個找到哲學理由不為Lazarus 停機的協議,在十二小時四十二分鐘內找到了技術理由讓自己停機。
這種對比沒有被忽視。
這究竟反映了真正的架構區別,還是去中心化原則的選擇性應用,是THORChain 再也無法延後的對話。
THORChain 很可能也會撐過這次。它以前做到過,在更艱難的情況下。
但生存和問責是兩回事,到目前為止這個協議在前者上遠比後者做得好。
THORChain 在別無選擇時為北韓停機。它會從這次重建,因為它一直都這樣做。
但在什麼時候,韌性不再是美德,而開始成為藉口?
REKT 作為匿名作者的公共平台,對REKT 上託管的觀點或內容不承擔任何責任。
捐贈(ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
免責聲明:
REKT 對我們網站上或與我們服務相關發布的任何內容不承擔任何形式的責任或義務,無論是由我們網站的匿名作者發布或引起的,還是由REKT 發布或引起的。儘管我們為匿名作者的行為和發文提供規則,但我們不控制也不對匿名作者在我們網站或服務上發布、傳輸或分享的內容負責,也不對您在我們網站或服務上可能遇到的任何冒犯性、不當、淫穢、非法或其他令人反感的內容負責。 REKT 對我們網站或服務的任何使用者的線上或線下行為概不負責。
