THORChain因$1070万密钥泄露重启交易
该协议表示它已从传统保险库迁移,验证了节点密钥共享,并设定了ZEC到XMR再到TAO的集成时间表。
THORChain 在经历了 5 月 15 日因 1070 万美元的漏洞而暂停活动一个多月后,恢复了全面的网络操作。此次重启使交易、签名、交换和流动性提供者的操作在经过金库迁移和多个协议升级后重新上线,这些升级旨在解决被利用的弱点。
关键要点
- 在与 1070 万美元盗窃相关的 5 月 15 日暂停后,THORChain 的全部功能现已恢复在线。
- 该协议将损失追溯到 GG20 阈值签名缺陷,该缺陷使得恶意节点操作员能够进行“渐进式密钥材料泄漏”和私钥重构。
- 补救措施包括 5 月 20 日的紧急补丁、6 月 9 日针对被利用漏洞的修复,以及 6 月 11 日专注于稳定性和 KeyVerify 修复的升级。
- 旧金库被退役并替换,每个节点的密钥共享都经过验证,THORChain 在近期计划中安排了对 ZEC、XMR 和 TAO 的支持。
THORChain 在 5 月 15 日 1070 万美元漏洞后重新开放交易
THORChain 在 5 月 15 日的漏洞导致协议称损失 1070 万美元后,已恢复所有网络活动。此次重启涵盖了交易、签名、交换和流动性提供者的操作,恢复了跨链路由和流动性提供者操作所需的全部功能。
在周二的一篇 X 帖子中,THORChain 将此次重启框架视为其恢复过程中的“最重要里程碑”。该协议将恢复服务描述为超过一个月的安全验证和升级的终点,而不仅仅是简单的重新启用交易。
THORChain 在跨链交换的关键路径上,连接着诸如比特币 和 以太坊。这种定位对交易者来说有双重影响:它可以是一个流动性场所,也可以在市场紧张时成为一个路由依赖。
GG20失败内幕:“渐进式密钥材料泄露”和私钥重构
THORChain将此次攻击归因于其GG20门限签名方案中的一个漏洞,该机制通过在多个节点运营商之间分割密钥控制来保护协议金库。协议的描述很重要,因为它定义了失败的信任边界。
所述的攻击路径是“渐进式密钥材料泄露”,THORChain表示这使得恶意节点运营商能够重构完整的私钥。在实际操作中,这对于任何门限保管模型来说都是噩梦场景:系统的设计是没有单一运营商可以单方面签名,但攻击叙述的结尾是一个运营商有效地组装了足够的材料来充当金库。
对于建模保管风险的交易者来说,关键点不仅仅是美元金额。重要的是,协议自身的解释集中在密钥重构上,而不是一次性的用户界面问题或孤立的合同漏洞。
补丁、保险库迁移和KeyVerify:重启前的变化
THORChain 制定了一项修复序列,听起来像是一次操作重置。它在 5 月 20 日实施了一项紧急补丁,旨在保护在漏洞攻击后剩余的保险库。6 月 9 日,它发布了一项升级,包含对被利用漏洞的修复。6 月 11 日的后续升级增加了稳定性改进和对 KeyVerify 协议的修复。
周日,THORChain表示通过KeyVerify确认了大多数保险库的安全性,并在迁移到新一组保险库的过程中退役了剩余的遗留保险库。它还表示在周五完成了对每个节点密钥共享的验证。
在该协议的披露中,有两个细节尚未量化:确认安全的“大多数”保险库的确切范围,以及是否有任何资金被追回或损失是否超过所述的1070万美元。
下一个集成计划:首先是ZEC,然后是XMR,约六周后将集成TAO。
随着网络恢复全面交易模式,THORChain概述了一个近期的集成路线图,为执行创建了清晰的检查点。该协议表示计划在接下来的两周内推出Zcash(ZEC)的原生交换和保险库,随后是Monero(XMR)。它还计划在重启后大约六周内支持Bittensor(TAO)代币。
对于市场参与者来说,时间线与资产在规定的时间内交付ZEC将是检验事件后开发速度是否保持的第一次测试,以及在推出时是否会伴随任何额外的保险库或密钥验证更新。对XMR的后续行动,以及它是否会附带额外的加固披露,将是下一个信号。TAO的支持可能取决于测试网到主网的节奏,以及六周目标是否会延迟。
如何框定THORChain重启后的跨链路由风险
我将这次重启视为安全和运营的重置,而不是健康状况的清白证明。THORChain 正在向市场传达,它在重新开启之前做了三件事:修补并升级了与漏洞相关的代码路径,退役并迁移了保险库基础设施,并验证了节点密钥共享。如果故障模式是密钥材料泄露,这就是正确的顺序。
重要的阈值是协议是否能够按计划交付 ZEC 到 XMR 的路线图,而不出现新的暂停或新的披露,这些披露会将爆炸半径扩展到超过所述的 1070 万美元。如果这一点成立,设置开始看起来是结构性的,而不是叙事驱动的,因为正常运行时间和集成吞吐量是保持跨链流动性在实践中粘性的关键。
