THORChain 在 1070 万美元被盗后提议恢复计划

THORChain (RUNE) 已开启社区治理投票，以确定其在 5 月 15 日遭受漏洞攻击后的恢复路径。在那次攻击中，一名恶意节点运营商从单个保险库中提取了约 1070 万美元，导致网络停止了所有交易和签名操作。根据 CoinGecko 的数据，RUNE 代币在事件发生当天下跌了 10%。

该协议的开发团队在事故报告中详细说明了这次攻击，将损失归因于对其 GG20 阈值签名方案的复杂利用。报告指出：“通过在多轮签名中进行的渐进式密钥材料泄漏，攻击者据称重构了保险库的完整私钥。”这使得攻击者能够直接签署交易，绕过了多方安全模型。

链上分析确认，攻击者在质押了 635,000 枚 RUNE 后，于 5 月 13 日加入验证者集。攻击在两天后开始，自动化偿付能力检查器在发现异常交易后 52 分钟内停止了六条链。随后，节点运营商利用 Mimir 治理投票协调了全网封锁，防止恶意节点退出并申领其保证金。

这一事件使 2026 年 DeFi 黑客攻击造成的损失超过了 8.4 亿美元，这一年的特点是对跨链基础设施的攻击日益复杂。THORChain 的这次漏洞专门针对加密层，与今年其他重大损失中常见的社交工程或针对桥接器的攻击截然不同。

漏洞利用：恶意节点与 GG20 缺陷

这次攻击是由一名于 5 月 1 日以“Dinosauruss”为名加入开发者 Discord 的新节点运营商发起的。在进入活动验证者集后，该运营商利用 GG20 签名过程中的漏洞，在两天内逐步泄露了保险库的密钥材料。一旦完整私钥被重构，攻击者便直接提取了资金。安全研究员 ZachXBT 是最早在 X 上标注这些可疑出站交易的人之一。

响应与网络停止

THORChain 的安全模型分层进行了响应。协议的自动化偿付能力检查器负责监控余额差异，首先触发并停止了受影响链上的活动。随后是社区的手动响应，超过 18 名节点运营商通过叠加暂停命令来维持网络停止状态，以便对情况进行调查。此后，团队发布了补丁 v3.18.1 以修复该漏洞，并正在与使用相同 GG20 实现的其他项目进行协调。

ADR-028：关于恢复的社区投票

恢复完整网络功能并解决经济损失的路径现在取决于对架构决策记录 028 (ADR-028) 的治理投票。该提案概述了一项计划，旨在通过使用协议自有流动性 (POL) 来覆盖赤字，从而补偿用户。该计划明确规定不会铸造新的 RUNE。它还包括一项条款，即如果黑客归还大部分资金，则向其提供赏金。投票将决定损失是由协议承担，还是采取其他措施，如削减攻击者的保证金。

本文仅供参考，不构成投资建议。