Một Node Mới Đã Chờ Hai Tuần. Sau đó Nó Đã Rút 10,7 Triệu USD Từ THORChain

** Một nhà vận hành nút độc ác đã rút sạch 10,7 triệu đô la từ THORChain vào ngày 15 tháng 5 qua lỗ hổng GG20. Dưới đây là toàn bộ dòng thời gian, phản ứng an ninh, và những gì sắp tới.**

Ai đó đã tham gia Discord nhà phát triển của THORChain vào ngày 1 tháng 5 với tên đăng nhập Dinosauruss. Tài khoản mới tạo. Các câu hỏi rất cụ thể — làm thế nào để đưa một nút vào mạng lưới, và nhanh như thế nào. Thời gian chờ trung bình ba ngày để thay đổi nút đã bị trì hoãn do các lý do không liên quan, nghĩa là phải chờ đợi.

Theo Báo cáo Lỗ hổng THORChain #1, xuất bản ngày 20 tháng 5, địa chỉ nút của kẻ tấn công (n84q) cuối cùng đã gia nhập nhóm xác thực hoạt động vào ngày 13 tháng 5. Khoảng 635.000 RUNE qua hai địa chỉ đặt cược. Ngẫu nhiên được phân bổ vào một trong năm két an toàn, giống như bất kỳ nhà vận hành nào khác.

Nút đã vào và không bao giờ rời đi

Trong hai ngày, nút tham gia các lễ ký GG20 định kỳ. Không có gì bất thường xuất hiện. GG20, hay Gennaro-Goldfeder 2020, là sơ đồ chữ ký ngưỡng mà THORChain sử dụng để phân phối quyền kiểm soát chìa khóa két an toàn qua các nhà vận hành độc lập. Không nút nào giữ toàn bộ chìa khóa riêng — trong điều kiện bình thường.

Lỗ hổng đã thay đổi điều đó. Thông qua việc rò rỉ dần dần dữ liệu chìa khóa qua nhiều vòng ký, kẻ tấn công được cho là đã tái tạo toàn bộ chìa khóa riêng của két an toàn. Khi quá trình tái tạo hoàn tất, các giao dịch ra ngoài đã được ký và phát sóng trực tiếp, hoàn toàn ngoài lễ ký GG20.

Công cụ kiểm tra khả năng thanh khoản phản ứng đã phát hiện ra sự khác biệt trong vòng vài phút. Nó phát hiện rằng số dư dự kiến vượt quá số dư thực tế trên chuỗi hơn 1% qua nhiều chuỗi, kích hoạt các lệnh tạm dừng tự động trên ETH, AVAX, BSC, BASE, DOGE, và GAIA mà không có con người can thiệp. Số tiền, ước tính ban đầu là $10M , đã chuyển đi rồi.

Discord bùng nổ trước khi phản hồi chính thức xuất hiện

Khi hoạt động mạng bị đình trệ, một thành viên cộng đồng đã báo cáo các giao dịch bất thường: nhiều lần gửi từ bộ định tuyến TC đến một địa chỉ Ethereum không có ghi chú. Bài đăng đó trở thành cảnh báo đầu tiên do con người khởi xướng. ZachXBT, trên X, đã cảnh báo cộng đồng rằng THORChain có thể đã mất hơn $10M qua Bitcoin, Ethereum, BSC, và Base.

Nút xuuu là người đầu tiên đặt lệnh tạm dừng thủ công 720 khối. Những nút khác đã chồng thêm các lệnh tạm dừng liên tiếp nhanh chóng. Hệ thống quản trị của THORChain được thiết kế cho chính xác điều này: một nút đơn lẻ không thể khóa mạng vô thời hạn, nhưng nhiều nút độc lập hành động nhanh có thể duy trì việc tạm dừng đủ lâu để điều tra. Vào ngày 15 tháng 5, khoảng 18 đến 20 nút đã đồng loạt chồng các lệnh tạm dừng.

Các cuộc bỏ phiếu quản trị chính thức qua Discord đã theo sau. Ngưỡng ba phiếu để thiết lập các tham số vận hành đã đạt được. HALTTRADING kích hoạt tại khối 26183438. HALTSIGNING tại khối 26183439. HALTCHAINGLOBAL tại khối 26183590. HALTCHURNING tại khối 26183849 — lệnh cuối cùng đặc biệt để ngăn nút độc hại thoát khỏi mạng.

Toàn bộ mạng đã bị khóa trong khoảng hai giờ sau khi cộng đồng báo động.

Những gì cuộc điều tra phát hiện, và những gì nó giữ lại

Phát biểu công khai đầu tiên của nhóm phát triển xuất hiện lúc 11:01 ngày 15 tháng 5, ước tính thiệt hại 7,4 triệu đô la và liệt kê ba hướng đang điều tra: lỗ hổng GG20, xâm phạm hạ tầng, và các yếu tố khác. Các nhà vận hành nút được yêu cầu kiểm tra lại hạ tầng và gửi nhật ký Bifrost.

Đến 19:10 cùng ngày, bức tranh rõ ràng hơn. Phân tích pháp y trên chuỗi liên kết địa chỉ nút độc hại thor16ucjv3v695mq283me7esh0wdhajjalengcn84q với các địa chỉ Ethereum nhận số tiền bị đánh cắp. Số thiệt hại đã được cập nhật khoảng 10,7 triệu đô la. Việc phối hợp với Outrider Analytics và cơ quan pháp luật đã bắt đầu, theo báo cáo chính thức.

Trong năm 2026, cảnh quan an ninh DeFi đã chứng kiến thiệt hại hơn $620M qua tháng 4 alone. Sự cố của THORChain đã làm tăng thêm lo ngại về các lỗ hổng trong lớp mã hóa trong hạ tầng chuỗi chéo.

Bản vá đã phát hành, việc phục hồi vẫn còn mở

Vào ngày 16 tháng 5, nhóm marketing đã phát đi cảnh báo lừa đảo. Các chương trình airdrop giả mạo và hoàn tiền đã bắt đầu lan truyền trên mạng xã hội. THORChain xác nhận không có chương trình hoàn tiền hoặc airdrop nào đang hoạt động.

Đến ngày 18 tháng 5, bản vá v3.18.1 sắp ra mắt. Nhóm phát triển cho biết họ đã hiểu rõ về cuộc tấn công nhưng sẽ giữ lại các chi tiết kỹ thuật cho đến khi các dự án khác sử dụng cùng bản triển khai GG20 có thể được cảnh báo và vá lặng lẽ hệ thống của họ. Tất cả nhà vận hành nút được yêu cầu giảm quy mô các pod Bifrost trước khi phát hành.

Toàn bộ quá trình phục hồi phụ thuộc vào quản trị cộng đồng. ADR-028, Ghi chú Quyết định Kiến trúc hiện đang mở để thảo luận, sẽ quyết định cách xử lý số tiền bị mất. Các lựa chọn đang tranh luận bao gồm cắt cược và hấp thụ thanh khoản do giao thức sở hữu. Phương án được chọn dự kiến sẽ được thực hiện trong v3.19.

THORChain đã xác định DKLS, một sơ đồ chữ ký ngưỡng hiện đại hơn, là mục tiêu mã hóa dài hạn của mình. Silence Labs đã được thuê vào tháng 11 năm 2025 để xây dựng một triển khai DKLS tùy chỉnh với khả năng abort rõ ràng. Dự kiến giao hàng vào Quý 1 hoặc Quý 2 năm 2026. Trong khi đó, GG20 vẫn đang trong quá trình sản xuất. Kẻ tấn công đã xuất hiện vào tháng 5.