三度团灭之后：THORChain 因一个未上线的补丁再失1070万美元

深潮TechFlow

特邀专栏作者

2026-05-25 04:48

この記事は約10371文字で、全文を読むには約15分かかります

三度目の全滅の後：THORChain、未適用のパッチが原因でさらに1070万ドルを損失

AI要約

展開

メンテナンスの延期が常態化したとき、責任は誰にあるのか？

原文作者：Rekt

原文编译：深潮 TechFlow

导读：五年三次被盗、2 亿美元资不抵债、帮朝鲜洗 12 亿美元，甚至创始人 jpthor 的个人钱包都被朝鲜黑客用假会议骗了 120 万。这次不是运气不好，而是已知漏洞的补丁存在代码库里九天却没人部署——当维护推迟变成常态，责任该算在谁头上？

五年三次被盗。还有一次 2 亿美元的资不抵债危机。再加上为朝鲜洗掉的 12 亿美元。

THORChain 和朝鲜的关系，比大多数协议愿意承认的都要深。

朝鲜甚至回报了这份情谊，在 2025 年 9 月通过假会议骗局从联合创始人 jpthor 的个人钱包里提走了 120 万美元。

这不像是通往成功的配方，反而更像是灾难的预兆。

然后在 5 月 15 日早上，又有 1070 万美元被盗。

到某个时刻，问题已经不再是"这是怎么发生的"，而是"为什么还有人期待会不一样"？

2026 年 5 月 15 日，THORChain 的 Asgard 金库在多条链上被快速抽干。

THORChain 自己的自动偿付检查器触发了暂停——这是从 2021 年 7 月的惨案中诞生的唯一安全升级——并冻结了网络 12 小时 42 分钟。

金库的设计没问题。资金还是没了。

RUNE 在世界大部分人读完 ZachXBT 的 Telegram 帖子之前就跌了 15%。

市值在几分钟内蒸发了 2700 万美元。

这是一个曾经盯着深渊并继续建设的协议。但把同一个伤口一次次称为"学习经验"是有限度的。

当漏洞类型已经被记录，补丁已经存在，资金还是没了的时候，推迟维护什么时候从疏忽变成了过失？

ZachXBT 最先看到。

5 月 15 日早些时候，他的 Telegram 频道发布了一条社区警报：THORChain 很可能在比特币、以太坊、BSC、Base 上被攻击，损失超过 1070 万美元。

TRM Labs 后来将确认的范围扩大到至少九条链——在最初的四条基础上增加了 Avalanche、Dogecoin、Litecoin、Bitcoin Cash 和 XRP——并将总损失上调到超过 1100 万美元。

Arkham 标记了攻击者钱包。

但抽干已经完成了。

PeckShield 公开确认：约 1000 万美元被抽干，包括 36.75 BTC 和约 700 万美元的资产，分布在 BNB Chain、以太坊和 Base 上。

THORChain 自己的基础设施在团队之前就动了。

THORChain 的 Mimir 治理模块将交易暂停和签名暂停参数翻转为活跃状态，节点暂停从区块 26190429 开始运行约 12 小时 42 分钟。

不需要人类做决定。

在 ZachXBT 宣布后超过 5 小时，THORChain 发布了一份官方声明，确认链上数据已经说明的事情：六个 Asgard 金库中的一个被攻破了。1070 万美元没了。

保护受影响金库的节点运营商因未经授权的转出交易而被削减质押的 RUNE。轮换暂停。链上架无限期推迟。初步迹象显示没有个人用户的交易受到影响。

THORSwap 和 Metro.exchange 立即停止了 THORChain 路由。

Maya Protocol 出于谨慎暂停。

ATOM 交易陷入黑暗。

替代提供商——Chainflip、NEAR Intents、Harbor、Flashnet、Garden、1inch——继续运行，未受影响。

当生态系统争先恐后时，链上记录已经在讲述一个不同的故事。

在指向原因的最早信号中：banteg 标记了一个对 THORNode 的 GitLab 提交，创建于 5 月 6 日——攻击前九天——标题为"签署完整的 ObservedTx 包装器以防止提议者伪造"。

补丁是存在的。它有名字和时间戳。它从未发布。

这个提交将被证明是更大织物中的一条线，不是根本原因，但是已知和已做之间差距的早期指标。

九天分隔了一个已提交的补丁和 1070 万美元的损失——那么，到底谁对这个差距中存在的东西负责？

一个节点，一个密钥，一次清扫

THORChain 的金库由门限签名方案（TSS）保护，这是一种多方计算形式，其中法定人数的节点共同产生密码签名，而没有任何单个节点拥有完整的私钥。

理论上是分布式信任。实践中，只有和法定人数中每个联署人一样强。

设置在抽干前几周就开始了。一个新创建的 Discord 账号——"Dinosauruss"——在 5 月 1 日加入了 THORChain 开发者 Discord，询问如何尽快让节点轮换进入网络。

由于无关的原因，正常的三天轮换间隔被推迟了，迫使攻击者等待。5 月 13 日，攻击前两天，一个在两个质押地址上拥有约 63.5 万 RUNE 的全新节点运营商轮换进入活跃验证者集，并被随机分配到五个金库之一。

在接下来的两天里，该节点参与了常规的 GG20 签名仪式，获得了它需要的一切。

THORChain 的确认发现：攻击者利用了 GG20 TSS 实现中的一个漏洞，该漏洞允许金库参与者的敏感密钥材料随时间泄漏。

通过在签名轮次中积累足够的泄漏材料，攻击者重建了金库的完整 TSS 私钥，并直接执行了未经授权的转出交易。

主动偿付检查器在签名前检查资不抵债。没有签名可以捕获。当金库出现短缺时，被动检查器启动了，那时资金已经没了。

偿付检查器按设计运行。攻击只是绕过了它监控的层。

要理解为什么攻击者能首先重建密钥，你必须理解 THORChain 在运行什么。

GG20 是一个广泛使用的门限 ECDSA 协议，通常用于与比特币和以太坊交互的系统。

它也有记录在案的关键漏洞历史。

CVE-2023-33241 和 TSSHOCK，都在 2023 年披露，是密钥提取攻击，只需要一个被攻破的联署人就能重建完整的私钥——悄无声息，不触发中止，在正常协议操作中不留痕迹。

针对 THORChain 使用的具体机制尚未被公开确认与任何 CVE 匹配，但两者都说明了该库容易受到的攻击类别。

THORChain 的 TSS 运行在币安 tss-lib 实现 GG20 的分叉上。

正如 Taylor Monahan 在攻击被标记后不久指出的那样："天哪，看起来 THORChain 运行的 tss-lib 落后了大约 3 年和 2 个以上的主要安全版本。"

banteg 在攻击后第二天发布了最详细的技术分析，直接检查了 THORChain 部署的分叉，tss-lib v0.1.6，提交 287e1e2，用于 thornode v3.18.0。

他的发现：密钥生成路径接受并持久化对等 Paillier 材料，而没有建立良好形成的两素数 Paillier 模数的 MOD/FAC 证明族。

因此，恶意节点可以注册一个 2048 位的 Paillier 模数，该模数通过库执行的每个检查，同时包含攻击者已知的因子。

一旦诚实节点持久化了该畸形密钥，触及它的每个签名轮次都会暴露被检查代码中的预言机形状，泄漏其他参与者长期签名份额的残差，攻击者可以离线积累和组合。

他的线束测试证实了被检查代码中的预言机形状。

jpthor 早就看到了这一点，在暂停后几小时内将 GG20 标记为最可能的解释。

Charles Guillemet 阐述了更广泛的结构问题：在每个已发布的 GG18 和 GG20 攻击中，一个恶意或被攻破的联署人就足够了。

不是多数，不是法定人数，一个。

如果单个参与者是恶意的，分布式密钥安全的整个前提在联署人层就崩溃了。

jpthor 此后制定了一个三步路线图：修补 GG20 让 THORChain 重新上线；将所有 ECDSA 协议迁移到 DKLS；然后将比特币签名迁移到 FROST。

他将 GG20 描述为一个"黑盒"，有"许多脆弱的假设"，"将永远是一个黑盒"，这是公共记录中最接近内部承认的东西。

THORChain 在 2025 年 11 月与 Silence Labs 合作构建定制的 DKLS 实现，目标交付时间为 2026 年第一季度/第二季度，这就是 GG20 在攻击时仍在生产中的原因。那项工作还没有完成。

THORChain 的轮换机制，即验证者定期轮换进出活跃 Asgard 金库的过程，使这成为可能。

没有它，恶意运营商就没有路径加入金库、参与签名仪式并积累密钥材料。攻击者不需要破解密码学。他们只需要进入房间。

调查与 THORSec 和 Outrider Analytics 一起继续。

已联系执法部门。攻击者身份仍然未知。

一份攻击报告于 5 月 20 日发布。一旦调查完成并最终确定恢复计划，将发布后续报告。

已知的是节点地址、质押钱包和接收钱包之间的链上联系，以及确认的机制——一个落后数年的密码库，运行在一个包含实现缺陷的分叉上，该缺陷能够将金库密钥材料泄漏给一个耐心的恶意运营商。

恶意节点：

thor16ucjv3v695mq283me7esh0wdhajjalengcn84q

THORChain 的轮换机制存在是为了轮换信任，有人用它来争取时间。

那么 DeFi 中有多少其他基于 GG20 的金库坐在同样未打补丁的库上，等待下一个耐心的运营商？

清扫干净

多条链，数十个代币，一个地址。

无论是谁做的，都确切知道一切在哪里，并以一种不暗示即兴发挥的精确性移动。

在网络暂停完全传播之前，以太坊、BNB Chain 和 Base 上的每个 ERC-20 代币都被汇集到攻击者控制的地址。比特币并行移动。

当 ZachXBT 发布他的警报时，整合已经完成。

QuillAudits 在 5 月 19 日发布了完整的逐链分解。

抽干情况如下...

以太坊上的恶意行为

从金库抽干的稳定币、蓝筹 DeFi 代币和协议原生资产：

1,756,756.02 USDT · 1,261,986.53 USDC · 73,768,463.86 XRUNE · 3,349,323.54 THOR · 5.206 WBTC · 64,138.47 LUSD · 61,074.86 GUSD · 38,762.45 USDP · 1,044.06 LINK · 4,567.54 DAI · 78.10 AAVE · 1,514.92 SNX · 481,996.68 FOX · 1.057 YFI · 11.43 DPI

攻击者地址：

0x82fc0d5150f3548027e971ec04c065f3c93154eb

THORChain 金库：

0x82a5CF67F3e6970C0529122178075C0a94878bDA

转出交易：

在 Etherscan 上查看全部

资金发送至此（约 677 万美元）:

0xd477b69551f49C0519F9B18c55030676138890Bd