
THORChain 三度團滅:節點偽裝進入金庫,3 周積累密鑰漏洞提走 1070 萬美元
TechFlow Selected深潮精選

THORChain 三度團滅:節點偽裝進入金庫,3 周積累密鑰漏洞提走 1070 萬美元
當維護推遲變成常態,責任該算在誰頭上?
作者:Rekt
編譯:深潮 TechFlow
深潮導讀:五年三次被盜、2 億美元資不抵債、幫朝鮮洗 12 億美元,甚至創始人 jpthor 的個人錢包都被朝鮮黑客用假會議騙了 120 萬。這次不是運氣不好,而是已知漏洞的補丁存在代碼庫裡九天卻沒人部署——當維護推遲變成常態,責任該算在誰頭上?
五年三次被盜。還有一次 2 億美元的資不抵債危機。再加上為朝鮮洗掉的 12 億美元。
THORChain 和朝鮮的關係,比大多數協議願意承認的都要深。
朝鮮甚至回報了這份情誼,在 2025 年 9 月通過假會議騙局從聯合創始人 jpthor 的個人錢包裡提走了 120 萬美元。
這不像是通往成功的配方,反而更像是災難的預兆。
然後在 5 月 15 日早上,又有 1070 萬美元被盜。
到某個時刻,問題已經不再是"這是怎麼發生的",而是"為什麼還有人期待會不一樣"?
2026 年 5 月 15 日,THORChain 的 Asgard 金庫在多條鏈上被快速抽乾。
THORChain 自己的自動償付檢查器觸發了暫停——這是從 2021 年 7 月的慘案中誕生的唯一安全升級——並凍結了網絡 12 小時 42 分鐘。
金庫的設計沒問題。資金還是沒了。
RUNE 在世界大部分人讀完 ZachXBT 的 Telegram 帖子之前就跌了 15%。
市值在幾分鐘內蒸發了 2700 萬美元。
這是一個曾經盯著深淵並繼續建設的協議。但把同一個傷口一次次稱為"學習經驗"是有限度的。
當漏洞類型已經被記錄,補丁已經存在,資金還是沒了的時候,推遲維護什麼時候從疏忽變成了過失?
ZachXBT 最先看到。
5 月 15 日早些時候,他的 Telegram 頻道發佈了一條社區警報:THORChain 很可能在比特幣、以太坊、BSC、Base 上被攻擊,損失超過 1070 萬美元。
TRM Labs 後來將確認的範圍擴大到至少九條鏈——在最初的四條基礎上增加了 Avalanche、Dogecoin、Litecoin、Bitcoin Cash 和 XRP——並將總損失上調到超過 1100 萬美元。
Arkham 標記了攻擊者錢包。
但抽乾已經完成了。
PeckShield 公開確認:約 1000 萬美元被抽乾,包括 36.75 BTC 和約 700 萬美元的資產,分佈在 BNB Chain、以太坊和 Base 上。
THORChain 自己的基礎設施在團隊之前就動了。
THORChain 的 Mimir 治理模塊將交易暫停和簽名暫停參數翻轉為活躍狀態,節點暫停從區塊 26190429 開始運行約 12 小時 42 分鐘。
不需要人類做決定。
在 ZachXBT 宣佈後超過 5 小時,THORChain 發佈了一份官方聲明,確認鏈上數據已經說明的事情:六個 Asgard 金庫中的一個被攻破了。1070 萬美元沒了。
保護受影響金庫的節點運營商因未經授權的轉出交易而被削減質押的 RUNE。輪換暫停。鏈上架無限期推遲。初步跡象顯示沒有個人用戶的交易受到影響。
THORSwap 和 Metro.exchange 立即停止了 THORChain 路由。
Maya Protocol 出於謹慎暫停。
ATOM 交易陷入黑暗。
替代提供商——Chainflip、NEAR Intents、Harbor、Flashnet、Garden、1inch——繼續運行,未受影響。
當生態系統爭先恐後時,鏈上記錄已經在講述一個不同的故事。
在指向原因的最早信號中:banteg 標記了一個對 THORNode 的 GitLab 提交,創建於 5 月 6 日——攻擊前九天——標題為"簽署完整的 ObservedTx 包裝器以防止提議者偽造"。
補丁是存在的。它有名字和時間戳。它從未發佈。
這個提交將被證明是更大織物中的一條線,不是根本原因,但是已知和已做之間差距的早期指標。
九天分隔了一個已提交的補丁和 1070 萬美元的損失——那麼,到底誰對這個差距中存在的東西負責?
一個節點,一個密鑰,一次清掃
THORChain 的金庫由門限簽名方案(TSS)保護,這是一種多方計算形式,其中法定人數的節點共同產生密碼簽名,而沒有任何單個節點擁有完整的私鑰。
理論上是分佈式信任。實踐中,只有和法定人數中每個聯署人一樣強。
設置在抽乾前幾周就開始了。一個新創建的 Discord 賬號——"Dinosauruss"——在 5 月 1 日加入了 THORChain 開發者 Discord,詢問如何儘快讓節點輪換進入網絡。
由於無關的原因,正常的三天輪換間隔被推遲了,迫使攻擊者等待。5 月 13 日,攻擊前兩天,一個在兩個質押地址上擁有約 63.5 萬 RUNE 的全新節點運營商輪換進入活躍驗證者集,並被隨機分配到五個金庫之一。
在接下來的兩天裡,該節點參與了常規的 GG20 簽名儀式,獲得了它需要的一切。
THORChain 的確認發現:攻擊者利用了 GG20 TSS 實現中的一個漏洞,該漏洞允許金庫參與者的敏感密鑰材料隨時間洩漏。
通過在簽名輪次中積累足夠的洩漏材料,攻擊者重建了金庫的完整 TSS 私鑰,並直接執行了未經授權的轉出交易。
主動償付檢查器在簽名前檢查資不抵債。沒有簽名可以捕獲。當金庫出現短缺時,被動檢查器啟動了,那時資金已經沒了。
償付檢查器按設計運行。攻擊只是繞過了它監控的層。
要理解為什麼攻擊者能首先重建密鑰,你必須理解 THORChain 在運行什麼。
GG20 是一個廣泛使用的門限 ECDSA 協議,通常用於與比特幣和以太坊交互的系統。
它也有記錄在案的關鍵漏洞歷史。
CVE-2023-33241 和 TSSHOCK,都在 2023 年披露,是密鑰提取攻擊,只需要一個被攻破的聯署人就能重建完整的私鑰——悄無聲息,不觸發中止,在正常協議操作中不留痕跡。
針對 THORChain 使用的具體機制尚未被公開確認與任何 CVE 匹配,但兩者都說明了該庫容易受到的攻擊類別。
THORChain 的 TSS 運行在幣安 tss-lib 實現 GG20 的分叉上。
正如 Taylor Monahan 在攻擊被標記後不久指出的那樣:"天哪,看起來 THORChain 運行的 tss-lib 落後了大約 3 年和 2 個以上的主要安全版本。"
banteg 在攻擊後第二天發佈了最詳細的技術分析,直接檢查了 THORChain 部署的分叉,tss-lib v0.1.6,提交 287e1e2,用於 thornode v3.18.0。
他的發現:密鑰生成路徑接受並持久化對等 Paillier 材料,而沒有建立良好形成的兩素數 Paillier 模數的 MOD/FAC 證明族。
因此,惡意節點可以註冊一個 2048 位的 Paillier 模數,該模數通過庫執行的每個檢查,同時包含攻擊者已知的因子。
一旦誠實節點持久化了該畸形密鑰,觸及它的每個簽名輪次都會暴露被檢查代碼中的預言機形狀,洩漏其他參與者長期簽名份額的殘差,攻擊者可以離線積累和組合。
他的線束測試證實了被檢查代碼中的預言機形狀。
jpthor 早就看到了這一點,在暫停後幾小時內將 GG20 標記為最可能的解釋。
Charles Guillemet 闡述了更廣泛的結構問題:在每個已發佈的 GG18 和 GG20 攻擊中,一個惡意或被攻破的聯署人就足夠了。
不是多數,不是法定人數,一個。
如果單個參與者是惡意的,分佈式密鑰安全的整個前提在聯署人層就崩潰了。
jpthor 此後制定了一個三步路線圖:修補 GG20 讓 THORChain 重新上線;將所有 ECDSA 協議遷移到 DKLS;然後將比特幣簽名遷移到 FROST。
他將 GG20 描述為一個"黑盒",有"許多脆弱的假設","將永遠是一個黑盒",這是公共記錄中最接近內部承認的東西。
THORChain 在 2025 年 11 月與 Silence Labs 合作構建定製的 DKLS 實現,目標交付時間為 2026 年第一季度/第二季度,這就是 GG20 在攻擊時仍在生產中的原因。那項工作還沒有完成。
THORChain 的輪換機制,即驗證者定期輪換進出活躍 Asgard 金庫的過程,使這成為可能。
沒有它,惡意運營商就沒有路徑加入金庫、參與簽名儀式並積累密鑰材料。攻擊者不需要破解密碼學。他們只需要進入房間。
調查與 THORSec 和 Outrider Analytics 一起繼續。
已聯繫執法部門。攻擊者身份仍然未知。
一份攻擊報告於 5 月 20 日發佈。一旦調查完成並最終確定恢復計劃,將發佈後續報告。
已知的是節點地址、質押錢包和接收錢包之間的鏈上聯繫,以及確認的機制——一個落後數年的密碼庫,運行在一個包含實現缺陷的分叉上,該缺陷能夠將金庫密鑰材料洩漏給一個耐心的惡意運營商。
惡意節點:
thor16ucjv3v695mq283me7esh0wdhajjalengcn84q
THORChain 的輪換機制存在是為了輪換信任,有人用它來爭取時間。
那麼 DeFi 中有多少其他基於 GG20 的金庫坐在同樣未打補丁的庫上,等待下一個耐心的運營商?
清掃乾淨
多條鏈,數十個代幣,一個地址。
無論是誰做的,都確切知道一切在哪裡,並以一種不暗示即興發揮的精確性移動。
在網絡暫停完全傳播之前,以太坊、BNB Chain 和 Base 上的每個 ERC-20 代幣都被彙集到攻擊者控制的地址。比特幣並行移動。
當 ZachXBT 發佈他的警報時,整合已經完成。
QuillAudits 在 5 月 19 日發佈了完整的逐鏈分解。
抽乾情況如下...
以太坊上的惡意行為
從金庫抽乾的穩定幣、藍籌 DeFi 代幣和協議原生資產:
1,756,756.02 USDT · 1,261,986.53 USDC · 73,768,463.86 XRUNE · 3,349,323.54 THOR · 5.206 WBTC · 64,138.47 LUSD · 61,074.86 GUSD · 38,762.45 USDP · 1,044.06 LINK · 4,567.54 DAI · 78.10 AAVE · 1,514.92 SNX · 481,996.68 FOX · 1.057 YFI · 11.43 DPI
攻擊者地址:
0x82fc0d5150f3548027e971ec04c065f3c93154eb
THORChain 金庫:
0x82a5CF67F3e6970C0529122178075C0a94878bDA
轉出交易:
在 Etherscan 上查看全部
資金髮送至此(約 677 萬美元):
0xd477b69551f49C0519F9B18c55030676138890Bd
BNB 上的惡意行為
抽乾的多樣化代幣籃子,包括穩定幣、包裝 BTC 和 ETH 等價物:
274,256.09 USDC · 125,117.17 BSC-USD · 32,144.23 BUSD · 32,980.44 TWT · 15.615 ETH · 0.509 BTCB
攻擊者地址:
0x82fc0d5150f3548027e971ec04c065f3c93154eb
THORChain 金庫:
0x82a5cf67f3e6970c0529122178075c0a94878bda
轉出交易:
在 BSCscan 上查看全部
比特幣上的惡意行為
總計超過 40 BTC(約 326 萬美元)的兩筆轉出交易:
36.85351435 BTC · 3.87429558 BTC
攻擊者地址:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37
THORChain 金庫:
bc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvm7zhyv
轉出交易:
在 mempool.space 上查看全部(向下滾動到交易)
Avalanche 上的惡意行為
抽乾的 Avalanche 穩定幣和 SOL 等價資產:
238,325.94 USDC · 43,041.25 USDT · 388.94 SOL
攻擊者地址:
0xd477b69551f49C0519F9B18c55030676138890Bd
THORChain 金庫:
0x82A3580296b014c27cFe6be23Ed471c30D878Bda
轉出交易:
0xd477b69551f49C0519F9B18c55030676138890Bd
Base 上的惡意行為
單筆轉出交易抽乾的 USDC:
55,912.41 USDC
攻擊者地址:
0xd477b69551f49C0519F9B18c55030676138890Bd
THORChain 金庫:
0x82a5cf67f3e6970c0529122178075c0a94878bda
單次抽乾交易:
0x4370739cf3f443fe129727ea1a9e215783d881c643f3ea1d12ce822aeb3e6af8
Dogecoin 上的惡意行為
在兩筆幾乎相同的轉出交易中抽乾的近 782 萬 DOGE(約 90 萬美元):
3,911,749.91 DOGE · 3,911,751.03 DOGE
攻擊者地址:
DBLJWFemMHbduKofBRg6TJ9XFAgWdvFCjS
THORChain 金庫:
DDL3tEh5P5vjSCNyU7t7sz9DQykRnr97d2
轉出交易:
在 BlockChair 上查看
Litecoin 上的惡意行為
從金庫抽乾的 LTC:
6,866.74772083 LTC
攻擊者地址:
ltc1qg0h4rz5kf27fkr99gamw4heg20rfz5epd7m7wh
THORChain 金庫:
ltc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvlzcnuu
單次抽乾交易:
F5985741ef6d7418cd2f0f4e909b6f0d525f18c6010cca48d846731f23972bd4
Bitcoin Cash 上的惡意行為
單筆交易中從金庫轉出的 BCH:
638.52948245 BCH
攻擊者地址:
qpp775v2je9texcv54rhd6kl9pfudy2nyyz4df2uvc
THORChain 金庫:
qpvaxhtcpkc8038ape3p3nuvlgd7makwds74qyng5p
轉出交易:
在 Blockchain 上查看
XRP 上的惡意行為
在兩筆交易中抽乾的 XRP:
25,404.922305 XRP · 16.999982 XRP
攻擊者地址:
rwoGBrYEJ28jhBjchrTyCGXd1Pt4pobFBz
THORChain 金庫:
r9BxLykSngpSuUU4jXtZLDycXip3Suo7Rf
轉出交易:
在 XRPScan 上查看
TRON 上的惡意行為
89,172 TRX 通過 SunSwap 兌換成 31,215 USDT,橋接到以太坊——13.9 ETH 交付到已知的 ETH 洗錢中心。
TRON 簽名、交易和償付檢查在 Mimir 中停止並禁用,與確認抽乾鏈的模式相匹配。
攻擊者地址:
TXmo5sdVCvQnJgbvjAUpQJfyNx5EnqtAM3
THORChain 金庫:
TMt1UgzBNKETQMgGckJDomcMQhvwhGUiXo
TRON 抽乾交易:
0ee50dd1af24c08a2f73fab18dd96897fcd6c08cfca0a6397b519c8fe1fdf1f4
ETH 交付:
0x09c4bc73fddaac5697a609cb448cefc26e13ccba22ce1b762b309b010e0db5f4
資金髮送至以太坊地址:
0x82fc0d5150f3548027e971ec04c065f3c93154eb
THORChain 的官方聲明確認,保護被攻破金庫的節點運營商因未經授權的轉出交易而被削減質押的 RUNE。
協議擁有的資金丟失了。根據團隊的初步評估,沒有個人用戶的交易受到影響。削減機制起作用了。金庫沒有。
攻擊看起來是突然的,但其實不是。
Chainalysis 在 5 月 15 日發佈了一個五部分的線程,映射了從 4 月下旬開始的數週準備活動——攻擊者通過 Monero 資助進入,為成為攻擊載體的節點質押 RUNE,並在抽乾前 43 分鐘向最終接收錢包交付 8 ETH。
多條鏈。一個耐心的運營商。三週的準備。網絡在看起來有問題的那一刻就自己暫停了。那時,攻擊者已經完成了。
當你的安全性的最好之處是它確認損害的速度有多快時,這意味著什麼?
審計過,只是不在那裡
THORChain 有審計師。
它在 2021 年漏洞發生後通過 ImmuneFi 啟動了漏洞賞金計劃,後來在有爭議的情況下離開 ImmuneFi,轉向自主託管的計劃,該計劃本身在 2026 年 3 月退役,也就是漏洞發生前兩個月。
它有認真對待安全的歷史,在 2021 年的災難後同時聘請了 Halborn 和 Trail of Bits,完成了一個五管齊下的恢復計劃,包括紅隊測試、協議加固和正式審計簽署,然後才重新啟動。
這些都沒有問題。有問題的是審計指向了哪裡。
2021 年漏洞發生後,Trail of Bits 對 THORChain 的核心協議進行了完整代碼審計——THORNode、Bifrost 跨鏈橋代碼,以及至關重要的支撐 TSS 金庫系統的 tss-lib 實現。
Halborn 進行了單獨的滲透測試,覆蓋 THORNode 堆棧、Bifrost 和金庫安全——包括對閾值多籤實現的審查。
兩者都給出了及格分數。發佈時沒有未解決的嚴重漏洞。
2021 年 12 月,Trail of Bits 更進一步,披露了 tss-lib 中 Shamir 秘密共享的漏洞,這些漏洞直接影響 THORChain。
THORChain 修補了它。協議重新啟動。審計變舊了。
從那以後,Halborn 一直很活躍,在 2025 年 1 月到 11 月之間進行了八次獨立的安全評估。
每一次的範圍都是 Rujira,THORChain 的智能合約應用層:借貸合約、訂單簿 DEX、質押模塊、借貸池。
有用的工作。必要的工作。但與剛剛損失 1070 萬美元的那一層毫無關係。
2020 年 - 早期安全工作:
CertiK · 2020 年 4 月 · THORChain 代碼審查
Kudelski Security · 2020 年 6 月 · THORChain TSS
IOActive · 2020 年 11 月 · 滲透測試
2021 年 - 核心協議:
Trail of Bits · 2021 年 8 月 · THORChain 核心 + tss-lib
Halborn · 2021 年 9 月 · TSS 審計
Halborn · 2021 年 9 月 · 狀態機、Router + Bifrost
Trail of Bits · 2021 年 12 月 · tss-lib Shamir 秘密共享 - 漏洞披露(已修補)
2024/2025 - Bifrost 觀察層:
Zellic · 2024 年 11 月 · THORChain Bifrost
Zellic · 2025 年 1 月 · THORChain Bifrost UTXO 客戶端
2025 年 - 僅 Rujira 應用層:
Halborn · 2025 年 1-2 月 · Rujira Trade(FIN)智能合約
Halborn · 2025 年 2 月 · Rujira Pools(BOW)智能合約
Halborn · 2025 年 3-4 月 · Rujira Staking 智能合約
Halborn · 2025 年 5 月 · NAMI Protocol Rujira 指數產品
Halborn · 2025 年 8 月 · CALC Manager/Scheduler/Strategy 智能合約
Halborn · 2025 年 10 月 · Ghost Vault(RUJI 借貸)智能合約
Halborn · 2025 年 10-11 月 · Ghost Credit(信用賬戶)智能合約
Halborn · 2025 年 11 月 · Rujira Trade FIN v1.1 智能合約
GG20 tss-lib 分叉,也就是這次漏洞核心的加密實現,自 2021 年以來沒有記錄在案的審計。更廣泛的 THORChain 代碼庫最近得到了一些關注,但都沒有觸及這一層。
Bifrost 最近得到了更多關注,Zellic 審計了觀察層,2024 年的 Code4rena 競賽覆蓋了 EVM 智能合約解析邏輯。
但這次漏洞核心的加密庫,Taylor Monahan 指出其在安全版本上落後了數年,上次正式審查是在該代碼庫的嚴重漏洞公開之前。
2025 年的所有評估都沒有觸及它。
TSSHOCK 和 CVE-2023-33241,兩個主要的 GG20 漏洞,都是在 2023 年披露的。
覆蓋 tss-lib 的 Trail of Bits 審計早於這兩個披露。
協議繼續在同一個庫上運行,經歷了兩個公開的嚴重漏洞,卻沒有對該特定組件進行記錄在案的重新審計。
需要明確的是:審計是時點評估。它們在給定的範圍內,在進行審計的那一刻,證明它們被要求證明的東西。
Halborn 在 2021 年沒有發現 GG20 漏洞,那時這些漏洞還沒有公開。
更難解釋的是,在這些漏洞公開後,為什麼沒有對核心協議層進行任何後續審計。
2025 年進行了八次審計,全部指向應用層,而持有金庫的加密基礎自漏洞公開之前就沒有經過正式審查。
是誰決定這是可以接受的姿態?
THORChain 挺過了一切。
2021 年十天內的兩次漏洞。一場短暫看起來像死亡螺旋的 2 億美元資不抵債危機。12 億美元的朝鮮洗錢事件讓其社區分裂,核心貢獻者離開。
它吸收了每一次打擊,重組結構,保持 DEX 運行,並稱之為韌性。
但它從未完全吸取每次事件背後的教訓。
保護金庫的加密庫在安全版本上落後了數年。
對核心協議的最後一次審計早於目前正在調查的漏洞的公開披露。
然而 2025 年發佈了八次審計,每一次都指向別處。
漏洞發生後不久,假的退款門戶就在流傳,騙子瞄準剛剛看著自己資金消失的用戶。
到 5 月 18 日,THORChain 被迫發佈明確的公開警告:沒有退款門戶。請只依賴官方渠道。
這個警告仍然顯示在 THORChain 官網的頂部橫幅上。
一個因耐心、複雜的攻擊者而損失 1070 萬美元的協議,第二天就在與收割自己受害者的機會主義者作鬥爭。
調查與 THORSec 和 Outrider Analytics 一起繼續進行,執法部門已介入。
5 月 20 日發佈了初步漏洞報告。後續報告待定。目前還沒有補償計劃。
關於如何處理損失的治理投票 ADR-028 尚未結束。
完整網絡重啟沒有給出時間表。
為朝鮮洗錢 12 億美元的協議從中至少賺取了 1200 萬美元的費用,這是 Chainalysis 的保守估計,並稱之為中立。
當 Lazarus 來襲時,節點運營商最初投票停止 ETH 交易。幾分鐘內投票就被推翻了。
一位核心貢獻者辭職。網絡繼續運行。
然後在 5 月 15 日,THORChain 自己的金庫被掏空,這個找到哲學理由不為 Lazarus 停機的協議,在十二小時四十二分鐘內找到了技術理由讓自己停機。
這種對比沒有被忽視。
這究竟反映了真正的架構區別,還是去中心化原則的選擇性應用,是 THORChain 再也無法推遲的對話。
THORChain 很可能也會挺過這次。它以前做到過,在更艱難的情況下。
但生存和問責是兩回事,到目前為止這個協議在前者上遠比後者做得好。
THORChain 在別無選擇時為朝鮮停機。它會從這次重建,因為它一直都這樣做。
但在什麼時候,韌性不再是美德,而開始成為藉口?
REKT 作為匿名作者的公共平臺,對 REKT 上託管的觀點或內容不承擔任何責任。
捐贈(ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
免責聲明:
REKT 對我們網站上或與我們服務相關發佈的任何內容不承擔任何形式的責任或義務,無論是由我們網站的匿名作者發佈或引起的,還是由 REKT 發佈或引起的。儘管我們為匿名作者的行為和發帖提供規則,但我們不控制也不對匿名作者在我們網站或服務上發佈、傳輸或分享的內容負責,也不對您在我們網站或服務上可能遇到的任何冒犯性、不當、淫穢、非法或其他令人反感的內容負責。REKT 不對我們網站或服務的任何用戶的線上或線下行為負責。
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News










