THORChain 在 1070 萬美元被盜後提議恢復計劃

THORChain (RUNE) 已開啟社區治理投票，以確定其在 5 月 15 日遭受漏洞攻擊後的恢復路徑。在那次攻擊中，一名惡意節點營運商從單個保險庫中提取了約 1070 萬美元，導致網絡停止了所有交易和簽名操作。根據 CoinGecko 的數據，RUNE 代幣在事件發生當天下跌了 10%。

該協議的開發團隊在事故報告中詳細說明了這次攻擊，將損失歸因於對其 GG20 閾值簽名方案的複雜利用。報告指出：「通過在多輪簽名中進行的漸進式密鑰材料洩漏，攻擊者據稱重構了保險庫的完整私鑰。」這使得攻擊者能夠直接簽署交易，繞過了多方安全模型。

鏈上分析確認，攻擊者在質押了 635,000 枚 RUNE 後，於 5 月 13 日加入驗證者集。攻擊在兩天後開始，自動化償付能力檢查器在發現異常交易後 52 分鐘內停止了六條鏈。隨後，節點營運商利用 Mimir 治理投票協調了全網封鎖，防止惡意節點退出並申領其保證金。

這一事件使 2026 年 DeFi 黑客攻擊造成的損失超過了 8.4 億美元，這一年的特點是對跨鏈基礎設施的攻擊日益複雜。THORChain 的這次漏洞專門針對加密層，與今年其他重大損失中常見的社交工程或針對橋接器的攻擊截然不同。

漏洞利用：惡意節點與 GG20 缺陷

這次攻擊是由一名於 5 月 1 日以「Dinosauruss」為名加入開發者 Discord 的新節點營運商發起的。在進入活動驗證者集後，該營運商利用 GG20 簽名過程中的漏洞，在兩天內逐步洩漏了保險庫的密鑰材料。一旦完整私鑰被重構，攻擊者便直接提取了資金。安全研究員 ZachXBT 是最早在 X 上標註這些可疑出站交易的人之一。

響應與網絡停止

THORChain 的安全模型分層進行了響應。協議的自動化償付能力檢查器負責監控餘額差異，首先觸發並停止了受影響鏈上的活動。隨後是社區的手動響應，超過 18 名節點營運商通過疊加暫停命令來維持網絡停止狀態，以便對情況進行調查。此後，團隊發佈了補丁 v3.18.1 以修復該漏洞，並正在與使用相同 GG20 實作的其他項目進行協調。

ADR-028：關於恢復的社區投票

恢復完整網絡功能並解決經濟損失的路徑現在取決於對架構決策記錄 028 (ADR-028) 的治理投票。該提案概述了一項計劃，旨在通過使用協議自有流動性 (POL) 來覆蓋赤字，從而補償用戶。該計劃明確規定不會鑄造新的 RUNE。它還包括一項條款，即如果黑客歸還大部分資金，則向其提供賞金。投票將決定損失是由協議承擔，還是採取其他措施，如削減攻擊者的保證金。

本文僅供參考，不構成投資建議。