主なポイント
- 5月15日に悪意のあるノードオペレーターがプロトコル保管庫から1,070万ドルを流出させたことを受け、THORChainは復旧に向けたガバナンス投票を実施しています。
- 攻撃者はGG20しきい値署名スキームの脆弱性を悪用して秘密鍵を再構築し、通常のセキュリティ手順を回避しました。
- 復旧計画ADR-028は、新規RUNEを発行せずにプロトコル所有の流動性を使用して損失を補填することを提案しており、ハッカーへの報奨金も含まれています。
戻る
THORChain、1,070万ドルの不正流出を受け復旧計画を提案
THORChain (RUNE) は、5月15日に悪意のあるノードオペレーターが単一のボルトから約1,070万ドルを流出させ、ネットワークのすべての取引および署名操作が停止した不正流出事件を受け、復旧経路を決定するためのコミュニティガバナンス投票を開始した。CoinGeckoのデータによると、RUNEトークンは事件当日に10%下落した。
プロトコルの開発チームは事件後のレポートで攻撃の詳細を説明し、この損失はGG20しきい値署名スキームの高度な悪用によるものだとした。レポートには、「複数回の署名ラウンドにわたる段階的な鍵情報の漏洩を通じて、攻撃者はボルトの完全な秘密鍵を再構築したとされる」と記されている。これにより、攻撃者はマルチパーティセキュリティモデルを回避し、直接トランザクションに署名することが可能になった。
オンチェーン分析により、攻撃者は635,000 RUNEをボンド(担保提供)した後、5月13日にバリデーターセットに参加したことが確認された。不正流出はその2日後に開始され、自動ソルベンシーチェッカーが不正なトランザクションから52分以内に6つのチェーンを停止させた。その後、ノードオペレーターはMimirガバナンス投票を使用してネットワーク全体のロックダウンを調整し、悪意のあるノードが離脱してボンドを回収することを阻止した。
この事件により、2026年のDeFiハッキングによる損失額は8億4,000万ドルを超えた。今年はクロスチェーンインフラに対する攻撃がますます巧妙化していることが特徴である。THORChainの不正流出は、今年他の大規模な損失で見られたソーシャルエンジニアリングやブリッジに焦点を当てた攻撃とは異なり、特に暗号レイヤーを標的にしていた。
不正流出:悪意のあるノードとGG20の欠陥
攻撃は、5月1日に「Dinosauruss」というハンドルネームで開発者のDiscordに参加した新しいノードオペレーターによって開始された。アクティブなバリデーターセットに参加した後、このオペレーターはGG20署名プロセスの欠陥を利用して、2日間にわたりボルトから鍵情報を段階的に漏洩させた。完全な秘密鍵が再構築されると、攻撃者は直接資金を流出させた。セキュリティ研究者のZachXBT氏は、X上で不審な出金トランザクションをいち早く指摘した一人である。
対応とネットワーク停止
THORChainのセキュリティモデルは階層的に対応した。残高の不一致を監視するプロトコルの自動ソルベンシーチェッカーが最初に作動し、影響を受けたチェーンの活動を停止させた。これに続いてコミュニティによる手動の対応が行われ、18人以上のノードオペレーターが一時停止コマンドを重ねて実行し、状況調査の間、ネットワークの停止状態を維持した。チームはその後、脆弱性に対処するためにパッチv3.18.1をリリースし、同じGG20実装を使用している他のプロジェクトと調整を行っている。
ADR-028:復旧に関するコミュニティ投票
ネットワーク機能を完全に復元し、金銭的損失に対処するための経路は、現在、アーキテクチャ決定記録028(ADR-028)に関するガバナンス投票に委ねられている。この提案は、プロトコル所有の流動性(POL)を使用して不足分を補填し、ユーザーを救済する計画の概要を示している。この計画では、新しいRUNEを鋳造しないことが明記されている。また、資金の大部分を返還した場合、ハッカーに報奨金を提供する規定も含まれている。投票では、損失をプロトコルが吸収するか、あるいは攻撃者のボンドをスラッシング(没収)するなどの他の措置を講じるかが決定される。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。
