주요 요점
THORChain(RUNE)은 지난 5월 15일 악의적인 노드 운영자가 단일 금고에서 약 1,070만 달러를 탈취하여 네트워크의 모든 거래 및 서명 작업이 중단된 사건 이후, 복구 경로를 결정하기 위한 커뮤니티 거버넌스 투표를 시작했습니다. 코인게코(CoinGecko) 데이터에 따르면 사건 당일 RUNE 토큰은 10% 하락했습니다.
프로토콜 개발팀은 사고 후 보고서에서 이번 공격을 GG20 임계값 서명 방식의 정교한 취약점 악용 때문으로 분석했습니다. 보고서는 "여러 차례의 서명 라운드를 통해 키 재료가 점진적으로 유출되면서 공격자가 금고의 전체 개인 키를 재구성한 것으로 알려졌다"고 밝혔습니다. 이를 통해 공격자는 다자간 보안 모델을 우회하고 트랜잭션에 직접 서명할 수 있었습니다.
온체인 분석 결과, 공격자는 635,000 RUNE을 예치(bonding)한 후 5월 13일에 검증인 세트에 합류한 것으로 확인되었습니다. 공격은 이틀 후에 시작되었으며, 자동 지급 능력 점검기(solvency checker)가 승인되지 않은 트랜잭션 발생 52분 만에 6개의 체인을 중단시켰습니다. 이후 노드 운영자들은 Mimir 거버넌스 투표를 통해 전체 네트워크 폐쇄를 조율하여 악성 노드가 탈퇴하고 예치금을 회수하는 것을 방지했습니다.
이번 사건으로 2026년 한 해 동안 DeFi 해킹으로 인한 손실액은 8억 4,000만 달러를 넘어섰으며, 올해는 크로스체인 인프라에 대한 공격이 더욱 정교해지고 있는 것이 특징입니다. THORChain 공격은 올해 다른 주요 손실의 원인이었던 사회 공학적 기법이나 브리지 중심의 공격과는 달리 암호화 계층을 구체적으로 겨냥했습니다.
이번 공격은 5월 1일 'Dinosauruss'라는 닉네임으로 개발자 디스코드에 합류한 새로운 노드 운영자에 의해 시작되었습니다. 활성 검증인 세트에 합류한 후, 이 운영자는 GG20 서명 프로세스의 결함을 이용해 이틀에 걸쳐 금고의 키 재료를 점진적으로 유출시켰습니다. 전체 개인 키가 재구성되자 공격자는 자금을 직접 탈취했으며, 보안 연구원 ZachXBT가 X(구 트위터)에서 의심스러운 출금 트랜잭션을 가장 먼저 포착해 알렸습니다.
THORChain의 보안 모델은 계층적으로 대응했습니다. 잔액 불일치를 모니터링하는 프로토콜의 자동 지급 능력 점검기가 먼저 작동하여 영향을 받은 체인의 활동을 중단시켰습니다. 이어 커뮤니티의 수동 대응이 이어졌으며, 18명 이상의 노드 운영자가 일시 중지 명령을 중첩하여 상황 조사 기간 동안 네트워크 중단 상태를 유지했습니다. 팀은 이후 해당 취약점을 해결하기 위해 패치 v3.18.1을 출시했으며, 동일한 GG20 구현을 사용하는 다른 프로젝트들과 협력하고 있습니다.
전체 네트워크 기능을 복원하고 재정적 손실을 해결하기 위한 경로는 이제 아키텍처 결정 기록 028(ADR-028)에 대한 거버넌스 투표에 달려 있습니다. 이 제안은 프로토콜 자체 유동성(POL)을 사용하여 적자를 보전함으로써 사용자의 피해를 복구하는 계획을 담고 있습니다. 이 계획은 새로운 RUNE을 발행하지 않을 것임을 명시하고 있습니다. 또한 자금의 대부분을 반환하는 대가로 해커에게 현상금을 제공하는 조항도 포함되어 있습니다. 투표를 통해 손실을 프로토콜이 흡수할 것인지, 아니면 공격자의 예치금을 삭감(slashing)하는 등의 다른 조치를 취할 것인지 결정하게 됩니다.
이 기사는 정보 제공만을 목적으로 하며 투자 조언을 구성하지 않습니다.
