การรีสตาร์ทเครือข่าย THORChain เข้าสู่การลงคะแนนเสียง เมื่อผู้ดำเนินการโหนดโหวตใน ADR028

THORChain ได้เปิดการลงคะแนนเสียงด้านการกำกับดูแลสำหรับผู้ดำเนินการโหนด บนเส้นทางสู่การรีสตาร์ทการดำเนินงานหลังจากเหตุการณ์ช่องโหว่เมื่อวันที่ 15 พฤษภาคม ที่ดูดเงินไปประมาณ 10.7 ล้านดอลลาร์จาก vault เดียว

ข้อเสนอดังกล่าวเรียกว่า ADR-028 ซึ่งกำหนดแนวทางที่เครือข่ายจะรับมือกับความเสียหายและกลับมาดำเนินงานอีกครั้ง

ช่องโหว่ใดที่นำไปสู่การโจมตี THORChain?

รายงานระบุว่าผู้ไม่ประสงค์ดีได้เข้าร่วมเครือข่ายในฐานะผู้ดำเนินการโหนดสองวันก่อนการโจมตี จากนั้นพวกเขาได้ ใช้ประโยชน์จากช่องโหว่ใน GG20 ของ THORChain ซึ่งเป็นระบบลายเซ็น threshold signature scheme (TSS) ที่เป็นระบบเข้ารหัสลับที่กระจายการควบคุมคีย์ vault ไปยังโหนดอิสระหลายโหนด เพื่อไม่ให้ผู้ดำเนินการรายใดรายหนึ่งถือครอง private key ทั้งหมด

มีเพียง vault เดียวจากห้าแห่งที่ได้รับผลกระทบ โดยบริษัทความปลอดภัย PeckShieldAlert ประเมินมูลค่าที่ถูกโจมตีไว้ที่ประมาณ 10 ล้านดอลลาร์ แบ่งเป็น 36.75 BTC (ประมาณ 3 ล้านดอลลาร์ในขณะนั้น) และสินทรัพย์อีกประมาณ 7 ล้านดอลลาร์บน Ethereum, BNB Chain และ Base ขณะที่การวิเคราะห์หลังเหตุการณ์ของ THORChain เองระบุตัวเลขที่ 10.7 ล้านดอลลาร์

โปรโตคอลระบุว่าการโจมตีถูกตรวจพบภายในไม่กี่นาที และได้ทริกเกอร์การหยุดซื้อขายระดับเชนขึ้น โดยผู้ดำเนินการโหนดได้กดหยุดการทำงานด้วยตนเองผ่านระบบการกำกับดูแล ส่งผลให้เครือข่ายถูกล็อกดาวน์โดยสมบูรณ์ภายในประมาณสองชั่วโมงหลังได้รับสัญญาณเตือน

RUNE ซึ่งเป็นโทเคนดั้งเดิมของ THORChain ร่วงลงมากกว่า 21% ในช่วงหลายวันหลังเหตุการณ์ดังกล่าว ปัจจุบันเทรดอยู่ที่ประมาณ $0.44 ตามข้อมูลของ CoinMarketCap

ADR-028 เสนออะไร?

ADR-028 ถูกเผยแพร่โดย THORChain บน GitLab พร้อมเปิดการลงคะแนนเสียงสำหรับผู้ดำเนินการโหนด โพสต์บน X ของโปรโตคอลระบุว่าแผนการกู้คืนจะให้ THORChain "รับมือกับความเสียหายก่อนผ่าน Protocol-Owned Liquidity" พร้อมเสริมว่าความเสียหายที่เหลือจะกระจายไปยังผู้ถือ synth

ซึ่งหมายความว่า liquidity ที่เป็นของโปรโตคอลจะถูกลดลงเป็นศูนย์ และ THORChain ระบุว่า "ADR เสนอให้เปลี่ยนทิศทางส่วนหนึ่งของรายได้ระบบเพื่อเติมเต็มมันตามเวลา"

โปรโตคอลระบุว่า GG20 ได้รับการแพตช์และอัปเกรดแล้ว พร้อมเสริมว่าโหนดที่ไม่เกี่ยวข้องกับผู้โจมตีแต่ได้รับผลกระทบเนื่องจากอยู่ใน vault เดียวกันจะไม่ถูก slash นอกจากนี้ยังเสนอให้เสนอ 10% ของรางวัลแก่ผู้โจมตีเพื่อคืนเงิน

บน GitLab ผู้แสดงความคิดเห็นที่ใช้ชื่อเล่นได้ให้ข้อเสนอแนะเกี่ยวกับข้อเสนอดังกล่าว โดยหยิบยก 2 ประเด็น

ประเด็นแรกคือการตัดส่วนรางวัลผู้โจมตีออกจาก ADR โดยระบุว่าควรจัดการผ่านการนิติวิทยาศาสตร์และการบังคับใช้กฎหมาย ส่วนประเด็นที่สองเรียกร้องให้มีการจัดสรรรายได้ระบบอย่างถาวรสำหรับการตรวจสอบความปลอดภัยจากภายนอก การตรวจสอบเชิงรุกของชั้น TSS และโปรแกรม bug bounty ที่ได้รับการสนับสนุนเงินทุนพร้อมเงื่อนไขการเผยแพร่ที่ผูกไว้กับโปรแกรมดังกล่าว

"ตามที่เขียนไว้ แผนนี้สร้าง liquidity ของ vault หนึ่งขึ้นมาใหม่ แต่ยังไม่ได้จัดสรรเงินทุนใดๆ เพื่อป้องกันการเกิดซ้ำ" ผู้แสดงความคิดเห็นเขียนบน GitLab "คุ้มค่าที่จะแก้ไขสาเหตุควบคู่ไปกับงบดุล"

ร่องรอยของผู้โจมตี

บริษัทวิเคราะห์บล็อกเชน Chainalysis เผยแพร่หลักฐานบนเชน เมื่อวันที่ 16 พฤษภาคม โดยเชื่อมโยงผู้โจมตีกับวอลเล็ตที่ได้รับเงินหลายสัปดาห์ก่อนการโจรกรรม บริษัทได้ติดตามการเคลื่อนไหวของผู้โจมตีผ่าน Monero, Hyperliquid และ THORChain เอง

วอลเล็ตหนึ่งได้ฝาก XMR ผ่าน Hyperliquid-Monero privacy bridge ในช่วงปลายเดือนเมษายน แลกเปลี่ยนสถานะที่ได้รับเป็น USDC จากนั้นถอนไปยัง Arbitrum และบริดจ์ไปยัง Ethereum จากนั้นตัวกลางได้โอน 8 ETH ไปยังวอลเล็ตรับของผู้โจมตีเพียง 43 นาทีก่อนที่เงินที่ถูกขโมยจะมาถึง ตามข้อมูลของ Chainalysis

จะเกิดอะไรขึ้นกับ THORChain ต่อจากนี้? 

การลงคะแนนเสียงของผู้ดำเนินการโหนดใน ADR-028 จะเป็นตัวกำหนดว่า THORChain จะรีสตาร์ทภายใต้กรอบการกู้คืนที่เสนอหรือต้องมีการแก้ไขเพิ่มเติม 

THORChain ได้ระบุ signature scheme ที่ทันสมัยกว่าชื่อ DKLS เป็นตัวแทนระยะยาวสำหรับ GG20 และได้ว่าจ้าง Silence Labs ในเดือนพฤศจิกายน 2025 เพื่อสร้าง implementation แบบกำหนดเอง โดยมีเป้าหมายการส่งมอบในไตรมาส Q1 หรือ Q2 ปี 2026 ตามรายงานช่องโหว่

หากคุณกำลังอ่านสิ่งนี้ คุณนำหน้าคนอื่นแล้ว ติดตามต่อไปกับจดหมายข่าวของเรา