摘要:跨链协议Thorchain因金库提款流程漏洞遭遇攻击,损失超1070万美元。攻击者利用伪造验证请求转移BTC、ETH及BNB,目前资产流向已部分追踪。协议代币RUNE应声下跌,开发者补丁虽已就绪却未部署,引发对去中心化系统运维机制的广泛质疑。
币圈界报道:
Thorchain跨链金库遭恶意劫持,逾千万美元资产被窃
跨链流动性网络Thorchain于今日凌晨爆发严重安全事件,导致价值约1070万美元的比特币、以太坊及BNB被非法转移。该漏洞由知名链上监控机构ZachXBT首次披露,涉及存款观测与提款审批之间的验证链条缺陷。事件发生后,项目方立即冻结全部交易通道,并启动全球节点暂停机制,预计持续时间接近13小时。
资金动向追踪:大额转账与分批洗钱并行
根据PeckShield发布的警报信息,此次攻击波及多个主流链,被盗资产包括36.75枚比特币(约合300万美元)以及价值约700万美元的BNB链、以太坊与Base链代币。当前多数资金集中于一个主地址:bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37…,相关链上行为正接受多方分析。
Arkham Intelligence数据显示,攻击者持有的资产包含36.8枚比特币(估值约296万美元)、3191枚以太坊(约720万美元),以及少量THOR、XRUNE和DAI代币。其中比特币通过单笔大额交易完成转移,其余资产则经由数十次小额拆分操作逐步转出,疑似用于规避监管追踪。
攻击路径解析:伪造验证请求绕过共识机制
作为去中心化跨链交换协议,Thorchain依赖一组验证节点共同监督用户资产存入并授权金库提款。安全研究机构Blockaid指出,攻击者通过截获并篡改存款观测数据,将其伪装为合法的提款指令,从而实现对共享金库的越权访问,成功在以太坊、比特币及BNB链上提取资金。
Blockaid进一步揭示,本次攻击的根本原因在于Bifrost Attestation Gossip模块中存在“提议者伪造”漏洞——验证签名未覆盖出入链标识位,使攻击者可将真实的入账观测篡改为虚假的出账请求。该问题已被开发团队识别并提交修复补丁,但因自动化更新系统故障未能及时上线。
历史阴影:非托管架构屡成犯罪温床
值得注意的是,这并非Thorchain首次遭遇类似攻击。2021年7月,其曾两次遭受入侵,累计损失近1500万美元。而就在本事件数周前,KelpDAO与Drift Protocol接连遭遇超5.5亿美元损失,凸显当前去中心化金融生态面临系统性风险。
由于其非托管特性与低审查门槛,该协议长期被用于资金清洗。在KelpDAO事件中,黑客通过Thorchain转移价值1.75亿美元的75700枚以太坊,平台因此获得近百万美元手续费收入。此外,在加密史上最大的Bybit 14亿美元盗币案中,超过12亿美元赃款亦经由Thorchain进行流转,引发监管层对其合规性的持续关注。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。