三度团灭之后：THORChain 因一个未上线的补丁再失1070万美元

原文作者：Rekt

原文编译：深潮 TechFlow

导读：五年三次被盗、2 亿美元资不抵债、帮朝鲜洗 12 亿美元，甚至创始人 jpthor 的个人钱包都被朝鲜黑客用假会议骗了 120 万。这次不是运气不好，而是已知漏洞的补丁存在代码库里九天却没人部署——当维护推迟变成常态，责任该算在谁头上？

五年三次被盗。还有一次 2 亿美元的资不抵债危机。再加上为朝鲜洗掉的 12 亿美元。

THORChain 和朝鲜的关系，比大多数协议愿意承认的都要深。

朝鲜甚至回报了这份情谊，在 2025 年 9 月通过假会议骗局从联合创始人 jpthor 的个人钱包里提走了 120 万美元。

这不像是通往成功的配方，反而更像是灾难的预兆。

然后在 5 月 15 日早上，又有 1070 万美元被盗。

到某个时刻，问题已经不再是"这是怎么发生的"，而是"为什么还有人期待会不一样"？

2026 年 5 月 15 日，THORChain 的 Asgard 金库在多条链上被快速抽干。

THORChain 自己的自动偿付检查器触发了暂停——这是从 2021 年 7 月的惨案中诞生的唯一安全升级——并冻结了网络 12 小时 42 分钟。

金库的设计没问题。资金还是没了。

RUNE 在世界大部分人读完 ZachXBT 的 Telegram 帖子之前就跌了 15%。

市值在几分钟内蒸发了 2700 万美元。

这是一个曾经盯着深渊并继续建设的协议。但把同一个伤口一次次称为"学习经验"是有限度的。

当漏洞类型已经被记录，补丁已经存在，资金还是没了的时候，推迟维护什么时候从疏忽变成了过失？

ZachXBT 最先看到。

5 月 15 日早些时候，他的 Telegram 频道发布了一条社区警报：THORChain 很可能在比特币、以太坊、BSC、Base 上被攻击，损失超过 1070 万美元。

TRM Labs 后来将确认的范围扩大到至少九条链——在最初的四条基础上增加了 Avalanche、Dogecoin、Litecoin、Bitcoin Cash 和 XRP——并将总损失上调到超过 1100 万美元。

Arkham 标记了攻击者钱包。

但抽干已经完成了。

PeckShield 公开确认：约 1000 万美元被抽干，包括 36.75 BTC 和约 700 万美元的资产，分布在 BNB Chain、以太坊和 Base 上。

THORChain 自己的基础设施在团队之前就动了。

THORChain 的 Mimir 治理模块将交易暂停和签名暂停参数翻转为活跃状态，节点暂停从区块 26190429 开始运行约 12 小时 42 分钟。

不需要人类做决定。

在 ZachXBT 宣布后超过 5 小时，THORChain 发布了一份官方声明，确认链上数据已经说明的事情：六个 Asgard 金库中的一个被攻破了。1070 万美元没了。

保护受影响金库的节点运营商因未经授权的转出交易而被削减质押的 RUNE。轮换暂停。链上架无限期推迟。初步迹象显示没有个人用户的交易受到影响。

THORSwap 和 Metro.exchange 立即停止了 THORChain 路由。

Maya Protocol 出于谨慎暂停。

ATOM 交易陷入黑暗。

替代提供商——Chainflip、NEAR Intents、Harbor、Flashnet、Garden、1inch——继续运行，未受影响。

当生态系统争先恐后时，链上记录已经在讲述一个不同的故事。

在指向原因的最早信号中：banteg 标记了一个对 THORNode 的 GitLab 提交，创建于 5 月 6 日——攻击前九天——标题为"签署完整的 ObservedTx 包装器以防止提议者伪造"。

补丁是存在的。它有名字和时间戳。它从未发布。

这个提交将被证明是更大织物中的一条线，不是根本原因，但是已知和已做之间差距的早期指标。

九天分隔了一个已提交的补丁和 1070 万美元的损失——那么，到底谁对这个差距中存在的东西负责？

一个节点，一个密钥，一次清扫

THORChain 的金库由门限签名方案（TSS）保护，这是一种多方计算形式，其中法定人数的节点共同产生密码签名，而没有任何单个节点拥有完整的私钥。

理论上是分布式信任。实践中，只有和法定人数中每个联署人一样强。

设置在抽干前几周就开始了。一个新创建的 Discord 账号——"Dinosauruss"——在 5 月 1 日加入了 THORChain 开发者 Discord，询问如何尽快让节点轮换进入网络。

由于无关的原因，正常的三天轮换间隔被推迟了，迫使攻击者等待。5 月 13 日，攻击前两天，一个在两个质押地址上拥有约 63.5 万 RUNE 的全新节点运营商轮换进入活跃验证者集，并被随机分配到五个金库之一。

在接下来的两天里，该节点参与了常规的 GG20 签名仪式，获得了它需要的一切。

THORChain 的确认发现：攻击者利用了 GG20 TSS 实现中的一个漏洞，该漏洞允许金库参与者的敏感密钥材料随时间泄漏。

通过在签名轮次中积累足够的泄漏材料，攻击者重建了金库的完整 TSS 私钥，并直接执行了未经授权的转出交易。

主动偿付检查器在签名前检查资不抵债。没有签名可以捕获。当金库出现短缺时，被动检查器启动了，那时资金已经没了。

偿付检查器按设计运行。攻击只是绕过了它监控的层。

要理解为什么攻击者能首先重建密钥，你必须理解 THORChain 在运行什么。

GG20 是一个广泛使用的门限 ECDSA 协议，通常用于与比特币和以太坊交互的系统。

它也有记录在案的关键漏洞历史。

CVE-2023-33241 和 TSSHOCK，都在 2023 年披露，是密钥提取攻击，只需要一个被攻破的联署人就能重建完整的私钥——悄无声息，不触发中止，在正常协议操作中不留痕迹。

针对 THORChain 使用的具体机制尚未被公开确认与任何 CVE 匹配，但两者都说明了该库容易受到的攻击类别。

THORChain 的 TSS 运行在币安 tss-lib 实现 GG20 的分叉上。

正如 Taylor Monahan 在攻击被标记后不久指出的那样："天哪，看起来 THORChain 运行的 tss-lib 落后了大约 3 年和 2 个以上的主要安全版本。"

banteg 在攻击后第二天发布了最详细的技术分析，直接检查了 THORChain 部署的分叉，tss-lib v0.1.6，提交 287e1e2，用于 thornode v3.18.0。

他的发现：密钥生成路径接受并持久化对等 Paillier 材料，而没有建立良好形成的两素数 Paillier 模数的 MOD/FAC 证明族。

因此，恶意节点可以注册一个 2048 位的 Paillier 模数，该模数通过库执行的每个检查，同时包含攻击者已知的因子。

一旦诚实节点持久化了该畸形密钥，触及它的每个签名轮次都会暴露被检查代码中的预言机形状，泄漏其他参与者长期签名份额的残差，攻击者可以离线积累和组合。

他的线束测试证实了被检查代码中的预言机形状。

jpthor 早就看到了这一点，在暂停后几小时内将 GG20 标记为最可能的解释。

Charles Guillemet 阐述了更广泛的结构问题：在每个已发布的 GG18 和 GG20 攻击中，一个恶意或被攻破的联署人就足够了。

不是多数，不是法定人数，一个。

如果单个参与者是恶意的，分布式密钥安全的整个前提在联署人层就崩溃了。

jpthor 此后制定了一个三步路线图：修补 GG20 让 THORChain 重新上线；将所有 ECDSA 协议迁移到 DKLS；然后将比特币签名迁移到 FROST。

他将 GG20 描述为一个"黑盒"，有"许多脆弱的假设"，"将永远是一个黑盒"，这是公共记录中最接近内部承认的东西。

THORChain 在 2025 年 11 月与 Silence Labs 合作构建定制的 DKLS 实现，目标交付时间为 2026 年第一季度/第二季度，这就是 GG20 在攻击时仍在生产中的原因。那项工作还没有完成。

THORChain 的轮换机制，即验证者定期轮换进出活跃 Asgard 金库的过程，使这成为可能。

没有它，恶意运营商就没有路径加入金库、参与签名仪式并积累密钥材料。攻击者不需要破解密码学。他们只需要进入房间。

调查与 THORSec 和 Outrider Analytics 一起继续。

已联系执法部门。攻击者身份仍然未知。

一份攻击报告于 5 月 20 日发布。一旦调查完成并最终确定恢复计划，将发布后续报告。

已知的是节点地址、质押钱包和接收钱包之间的链上联系，以及确认的机制——一个落后数年的密码库，运行在一个包含实现缺陷的分叉上，该缺陷能够将金库密钥材料泄漏给一个耐心的恶意运营商。

恶意节点：

thor16ucjv3v695mq283me7esh0wdhajjalengcn84q

THORChain 的轮换机制存在是为了轮换信任，有人用它来争取时间。

那么 DeFi 中有多少其他基于 GG20 的金库坐在同样未打补丁的库上，等待下一个耐心的运营商？

清扫干净

多条链，数十个代币，一个地址。

无论是谁做的，都确切知道一切在哪里，并以一种不暗示即兴发挥的精确性移动。

在网络暂停完全传播之前，以太坊、BNB Chain 和 Base 上的每个 ERC-20 代币都被汇集到攻击者控制的地址。比特币并行移动。

当 ZachXBT 发布他的警报时，整合已经完成。

QuillAudits 在 5 月 19 日发布了完整的逐链分解。

抽干情况如下...

以太坊上的恶意行为

从金库抽干的稳定币、蓝筹 DeFi 代币和协议原生资产：

1,756,756.02 USDT · 1,261,986.53 USDC · 73,768,463.86 XRUNE · 3,349,323.54 THOR · 5.206 WBTC · 64,138.47 LUSD · 61,074.86 GUSD · 38,762.45 USDP · 1,044.06 LINK · 4,567.54 DAI · 78.10 AAVE · 1,514.92 SNX · 481,996.68 FOX · 1.057 YFI · 11.43 DPI

攻击者地址：

0x82fc0d5150f3548027e971ec04c065f3c93154eb

THORChain 金库：

0x82a5CF67F3e6970C0529122178075C0a94878bDA

转出交易：

在 Etherscan 上查看全部

资金发送至此（约 677 万美元）:

0xd477b69551f49C0519F9B18c55030676138890Bd

BNB 上的恶意行为

抽干的多样化代币篮子，包括稳定币、包装 BTC 和 ETH 等价物：

274,256.09 USDC · 125,117.17 BSC-USD · 32,144.23 BUSD · 32,980.44 TWT · 15.615 ETH · 0.509 BTCB

攻击者地址：

0x82fc0d5150f3548027e971ec04c065f3c93154eb

THORChain 金库：

0x82a5cf67f3e6970c0529122178075c0a94878bda

转出交易：

在 BSCscan 上查看全部

比特币上的恶意行为

总计超过 40 BTC（约 326 万美元）的两笔转出交易：

36.85351435 BTC · 3.87429558 BTC

攻击者地址：

bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37

THORChain 金库：

bc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvm7zhyv

转出交易：

在 mempool.space 上查看全部（向下滚动到交易）

Avalanche 上的恶意行为

抽干的 Avalanche 稳定币和 SOL 等价资产：

238,325.94 USDC · 43,041.25 USDT · 388.94 SOL

攻击者地址：

0xd477b69551f49C0519F9B18c55030676138890Bd

THORChain 金库：

0x82A3580296b014c27cFe6be23Ed471c30D878Bda

转出交易：

0xd477b69551f49C0519F9B18c55030676138890Bd

Base 上的恶意行为

单笔转出交易抽干的 USDC:

55,912.41 USDC

攻击者地址：

0xd477b69551f49C0519F9B18c55030676138890Bd

THORChain 金库：

0x82a5cf67f3e6970c0529122178075c0a94878bda

单次抽干交易：

0x4370739cf3f443fe129727ea1a9e215783d881c643f3ea1d12ce822aeb3e6af8

Dogecoin 上的恶意行为

在两笔几乎相同的转出交易中抽干的近 782 万 DOGE（约 90 万美元）:

3,911,749.91 DOGE · 3,911,751.03 DOGE

攻击者地址：

DBLJWFemMHbduKofBRg6TJ9XFAgWdvFCjS

THORChain 金库：

DDL3tEh5P5vjSCNyU7t7sz9DQykRnr97d2

转出交易：

在 BlockChair 上查看

Litecoin 上的恶意行为

从金库抽干的 LTC:

6,866.74772083 LTC

攻击者地址：

ltc1qg0h4rz5kf27fkr99gamw4heg20rfz5epd7m7wh

THORChain 金库：

ltc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvlzcnuu

单次抽干交易：

F5985741ef6d7418cd2f0f4e909b6f0d525f18c6010cca48d846731f23972bd4

Bitcoin Cash 上的恶意行为

单笔交易中从金库转出的 BCH:

638.52948245 BCH

攻击者地址：

qpp775v2je9texcv54rhd6kl9pfudy2nyyz4df2uvc

THORChain 金库：

qpvaxhtcpkc8038ape3p3nuvlgd7makwds74qyng5p

转出交易：

在 Blockchain 上查看

XRP 上的恶意行为

在两笔交易中抽干的 XRP:

25,404.922305 XRP · 16.999982 XRP

攻击者地址：

rwoGBrYEJ28jhBjchrTyCGXd1Pt4pobFBz

THORChain 金库：

r9BxLykSngpSuUU4jXtZLDycXip3Suo7Rf

转出交易：

在 XRPScan 上查看

TRON 上的恶意行为

89,172 TRX 通过 SunSwap 兑换成 31,215 USDT，桥接到以太坊——13.9 ETH 交付到已知的 ETH 洗钱中心。

TRON 签名、交易和偿付检查在 Mimir 中停止并禁用，与确认抽干链的模式相匹配。

攻击者地址：

TXmo5sdVCvQnJgbvjAUpQJfyNx5EnqtAM3

THORChain 金库：

TMt1UgzBNKETQMgGckJDomcMQhvwhGUiXo

TRON 抽干交易：

0ee50dd1af24c08a2f73fab18dd96897fcd6c08cfca0a6397b519c8fe1fdf1f4

ETH 交付：

0x09c4bc73fddaac5697a609cb448cefc26e13ccba22ce1b762b309b010e0db5f4

资金发送至以太坊地址：

0x82fc0d5150f3548027e971ec04c065f3c93154eb

THORChain 的官方声明确认，保护被攻破金库的节点运营商因未经授权的转出交易而被削减质押的 RUNE。

协议拥有的资金丢失了。根据团队的初步评估，没有个人用户的交易受到影响。削减机制起作用了。金库没有。

攻击看起来是突然的，但其实不是。

Chainalysis 在 5 月 15 日发布了一个五部分的线程，映射了从 4 月下旬开始的数周准备活动——攻击者通过 Monero 资助进入，为成为攻击载体的节点质押 RUNE，并在抽干前 43 分钟向最终接收钱包交付 8 ETH。

多条链。一个耐心的运营商。三周的准备。网络在看起来有问题的那一刻就自己暂停了。那时，攻击者已经完成了。

当你的安全性的最好之处是它确认损害的速度有多快时，这意味着什么？

审计过，只是不在那里

THORChain 有审计师。

它在 2021 年漏洞发生后通过 ImmuneFi 启动了漏洞赏金计划，后来在有争议的情况下离开 ImmuneFi，转向自主托管的计划，该计划本身在 2026 年 3 月退役，也就是漏洞发生前两个月。

它有认真对待安全的历史，在 2021 年的灾难后同时聘请了 Halborn 和 Trail of Bits，完成了一个五管齐下的恢复计划，包括红队测试、协议加固和正式审计签署，然后才重新启动。

这些都没有问题。有问题的是审计指向了哪里。

2021 年漏洞发生后，Trail of Bits 对 THORChain 的核心协议进行了完整代码审计——THORNode、Bifrost 跨链桥代码，以及至关重要的支撑 TSS 金库系统的 tss-lib 实现。

Halborn 进行了单独的渗透测试，覆盖 THORNode 堆栈、Bifrost 和金库安全——包括对阈值多签实现的审查。

两者都给出了及格分数。发布时没有未解决的严重漏洞。

2021 年 12 月，Trail of Bits 更进一步，披露了 tss-lib 中 Shamir 秘密共享的漏洞，这些漏洞直接影响 THORChain。

THORChain 修补了它。协议重新启动。审计变旧了。

从那以后，Halborn 一直很活跃，在 2025 年 1 月到 11 月之间进行了八次独立的安全评估。

每一次的范围都是 Rujira，THORChain 的智能合约应用层：借贷合约、订单簿 DEX、质押模块、借贷池。

有用的工作。必要的工作。但与刚刚损失 1070 万美元的那一层毫无关系。

2020 年 - 早期安全工作：

CertiK · 2020 年 4 月 · THORChain 代码审查

Kudelski Security · 2020 年 6 月 · THORChain TSS

IOActive · 2020 年 11 月 · 渗透测试

2021 年 - 核心协议：

Trail of Bits · 2021 年 8 月 · THORChain 核心 + tss-lib

Halborn · 2021 年 9 月 · TSS 审计

Halborn · 2021 年 9 月 · 状态机、Router + Bifrost

Trail of Bits · 2021 年 12 月 · tss-lib Shamir 秘密共享 - 漏洞披露（已修补）

2024/2025 - Bifrost 观察层：

Zellic · 2024 年 11 月 · THORChain Bifrost

Zellic · 2025 年 1 月 · THORChain Bifrost UTXO 客户端

2025 年 - 仅 Rujira 应用层：

Halborn · 2025 年 1-2 月 · Rujira Trade（FIN）智能合约

Halborn · 2025 年 2 月 · Rujira Pools（BOW）智能合约

Halborn · 2025 年 3-4 月 · Rujira Staking 智能合约

Halborn · 2025 年 5 月 · NAMI Protocol Rujira 指数产品

Halborn · 2025 年 8 月 · CALC Manager/Scheduler/Strategy 智能合约

Halborn · 2025 年 10 月 · Ghost Vault（RUJI 借贷）智能合约

Halborn · 2025 年 10-11 月 · Ghost Credit（信用账户）智能合约

Halborn · 2025 年 11 月 · Rujira Trade FIN v1.1 智能合约

GG20 tss-lib 分叉，也就是这次漏洞核心的加密实现，自 2021 年以来没有记录在案的审计。更广泛的 THORChain 代码库最近得到了一些关注，但都没有触及这一层。

Bifrost 最近得到了更多关注，Zellic 审计了观察层，2024 年的 Code4rena 竞赛覆盖了 EVM 智能合约解析逻辑。

但这次漏洞核心的加密库，Taylor Monahan 指出其在安全版本上落后了数年，上次正式审查是在该代码库的严重漏洞公开之前。

2025 年的所有评估都没有触及它。

TSSHOCK 和 CVE-2023-33241，两个主要的 GG20 漏洞，都是在 2023 年披露的。

覆盖 tss-lib 的 Trail of Bits 审计早于这两个披露。

协议继续在同一个库上运行，经历了两个公开的严重漏洞，却没有对该特定组件进行记录在案的重新审计。

需要明确的是：审计是时点评估。它们在给定的范围内，在进行审计的那一刻，证明它们被要求证明的东西。

Halborn 在 2021 年没有发现 GG20 漏洞，那时这些漏洞还没有公开。

更难解释的是，在这些漏洞公开后，为什么没有对核心协议层进行任何后续审计。

2025 年进行了八次审计，全部指向应用层，而持有金库的加密基础自漏洞公开之前就没有经过正式审查。

是谁决定这是可以接受的姿态？

THORChain 挺过了一切。

2021 年十天内的两次漏洞。一场短暂看起来像死亡螺旋的 2 亿美元资不抵债危机。12 亿美元的朝鲜洗钱事件让其社区分裂，核心贡献者离开。

它吸收了每一次打击，重组结构，保持 DEX 运行，并称之为韧性。

但它从未完全吸取每次事件背后的教训。

保护金库的加密库在安全版本上落后了数年。

对核心协议的最后一次审计早于目前正在调查的漏洞的公开披露。

然而 2025 年发布了八次审计，每一次都指向别处。

漏洞发生后不久，假的退款门户就在流传，骗子瞄准刚刚看着自己资金消失的用户。

到 5 月 18 日，THORChain 被迫发布明确的公开警告：没有退款门户。请只依赖官方渠道。

这个警告仍然显示在 THORChain 官网的顶部横幅上。

一个因耐心、复杂的攻击者而损失 1070 万美元的协议，第二天就在与收割自己受害者的机会主义者作斗争。

调查与 THORSec 和 Outrider Analytics 一起继续进行，执法部门已介入。

5 月 20 日发布了初步漏洞报告。后续报告待定。目前还没有补偿计划。

关于如何处理损失的治理投票 ADR-028 尚未结束。

完整网络重启没有给出时间表。

为朝鲜洗钱 12 亿美元的协议从中至少赚取了 1200 万美元的费用，这是 Chainalysis 的保守估计，并称之为中立。

当 Lazarus 来袭时，节点运营商最初投票停止 ETH 交易。几分钟内投票就被推翻了。

一位核心贡献者辞职。网络继续运行。

然后在 5 月 15 日，THORChain 自己的金库被掏空，这个找到哲学理由不为 Lazarus 停机的协议，在十二小时四十二分钟内找到了技术理由让自己停机。

这种对比没有被忽视。

这究竟反映了真正的架构区别，还是去中心化原则的选择性应用，是 THORChain 再也无法推迟的对话。

THORChain 很可能也会挺过这次。它以前做到过，在更艰难的情况下。

但生存和问责是两回事，到目前为止这个协议在前者上远比后者做得好。

THORChain 在别无选择时为朝鲜停机。它会从这次重建，因为它一直都这样做。

但在什么时候，韧性不再是美德，而开始成为借口？

REKT 作为匿名作者的公共平台，对 REKT 上托管的观点或内容不承担任何责任。

捐赠（ETH / ERC20）: 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

免责声明：

REKT 对我们网站上或与我们服务相关发布的任何内容不承担任何形式的责任或义务，无论是由我们网站的匿名作者发布或引起的，还是由 REKT 发布或引起的。尽管我们为匿名作者的行为和发帖提供规则，但我们不控制也不对匿名作者在我们网站或服务上发布、传输或分享的内容负责，也不对您在我们网站或服务上可能遇到的任何冒犯性、不当、淫秽、非法或其他令人反感的内容负责。REKT 不对我们网站或服务的任何用户的线上或线下行为负责。