THORChain (RUNE) đã mở một cuộc bỏ phiếu quản trị cộng đồng để xác định lộ trình phục hồi sau vụ khai thác vào ngày 15 tháng 5, trong đó một nhà vận hành nút gian lận đã rút khoảng 10,7 triệu USD từ một kho lưu trữ duy nhất, khiến mạng phải tạm dừng tất cả các hoạt động giao dịch và ký tên. Mã thông báo RUNE đã giảm 10% vào ngày xảy ra sự cố, theo dữ liệu từ CoinGecko.
Nhóm phát triển của giao thức đã trình bày chi tiết về cuộc tấn công trong một báo cáo sau sự cố, cho rằng tổn thất là do sự khai thác tinh vi sơ đồ chữ ký ngưỡng GG20 của nó. Báo cáo cho biết: “Thông qua việc rò rỉ tài liệu khóa dần dần qua nhiều vòng ký, kẻ tấn công được cho là đã tái tạo lại toàn bộ khóa riêng của kho lưu trữ”. Điều này cho phép kẻ tấn công ký trực tiếp các giao dịch, bỏ qua mô hình bảo mật đa bên.
Phân tích on-chain xác nhận kẻ tấn công đã gia nhập bộ trình xác thực vào ngày 13 tháng 5 sau khi nạp 635.000 RUNE. Vụ khai thác bắt đầu hai ngày sau đó, với các trình kiểm tra khả năng thanh toán tự động đã tạm dừng sáu chuỗi trong vòng 52 phút kể từ các giao dịch trái phép. Các nhà vận hành nút sau đó đã phối hợp khóa toàn bộ mạng bằng các phiếu bầu quản trị Mimir, ngăn chặn nút độc hại thoát ra và lấy lại tiền ký quỹ của mình.
Sự cố này làm tăng thêm khoản lỗ hơn 840 triệu USD do các vụ hack DeFi vào năm 2026, một năm được đánh dấu bằng các cuộc tấn công ngày càng tinh vi vào cơ sở hạ tầng chuỗi chéo. Vụ khai thác THORChain đặc biệt nhắm vào lớp mật mã, khác biệt với các cuộc tấn công kỹ thuật xã hội hoặc tập trung vào cầu nối đã đặc trưng cho các tổn thất lớn khác trong năm nay.
Vụ khai thác: Một nút gian lận và lỗi GG20
Cuộc tấn công được khởi xướng bởi một nhà vận hành nút mới, người đã tham gia Discord của nhà phát triển vào ngày 1 tháng 5 dưới tên gọi Dinosauruss. Sau khi gia nhập bộ trình xác thực đang hoạt động, nhà vận hành này đã sử dụng một lỗi trong quy trình ký GG20 để rò rỉ dần các tài liệu khóa từ một kho lưu trữ trong hai ngày. Sau khi khóa riêng đầy đủ được tái tạo, kẻ tấn công đã trực tiếp rút tiền, với nhà nghiên cứu bảo mật ZachXBT là một trong những người đầu tiên gắn cờ các giao dịch gửi đi đáng ngờ trên X.
Phản ứng và tạm dừng mạng
Mô hình bảo mật của THORChain đã phản ứng theo từng lớp. Trình kiểm tra khả năng thanh toán tự động của giao thức, theo dõi sự khác biệt về số dư, đã kích hoạt trước tiên, tạm dừng hoạt động trên các chuỗi bị ảnh hưởng. Tiếp theo là phản ứng thủ công từ cộng đồng, với hơn 18 nhà vận hành nút thực hiện các lệnh tạm dừng để duy trì việc dừng mạng trong khi tình hình được điều tra. Nhóm nghiên cứu kể từ đó đã phát hành bản vá v3.18.1 để giải quyết lỗ hổng và đang phối hợp với các dự án khác sử dụng cùng một bản triển khai GG20.
ADR-028: Bỏ phiếu cộng đồng về phục hồi
Lộ trình khôi phục toàn bộ chức năng mạng và giải quyết tổn thất tài chính hiện phụ thuộc vào cuộc bỏ phiếu quản trị về Bản ghi Quyết định Kiến trúc 028 (ADR-028). Đề xuất phác thảo một kế hoạch để bồi thường cho người dùng bằng cách sử dụng thanh khoản riêng của giao thức (POL) để bù đắp thâm hụt. Kế hoạch tuyên bố rõ ràng sẽ không có RUNE mới nào được đúc. Nó cũng bao gồm một điều khoản cung cấp cho tin tặc một khoản tiền thưởng nếu trả lại phần lớn số tiền. Cuộc bỏ phiếu sẽ quyết định xem các khoản lỗ sẽ được giao thức hấp thụ hay các biện pháp khác, chẳng hạn như cắt giảm tiền ký quỹ của kẻ tấn công, sẽ được sử dụng.
Bài viết này chỉ dành cho mục đích thông tin và không cấu thành lời khuyên đầu tư.
