THORChain 1000 萬美元漏洞事件：Asgard Vault 點樣被攻破？GG20 簽名漏洞同退款傳聞解析

Asgard Vault 是什麼？為何會成為攻擊目標

THORChain 的 Asgard vault 由多個驗證節點共同控制，用來存放不同區塊鏈的流動性資產，支持跨鏈交換。

為避免單點私鑰風險，系統採用 門檻簽名（Threshold Signature Scheme, TSS）。簡單講：

• 私鑰不會完整存於單一節點
• 每個節點只持有一部分金鑰
• 必須有足夠節點共同簽名，交易先會被批准

理論上，這種設計可以提高安全性，但同時也將安全風險集中在 簽名系統的實作細節。

攻擊方式：GG20 門檻簽名漏洞

目前調查最主要的技術推測，與 THORChain 使用的 GG20 Threshold Signature Scheme 有關。

GG20 是一種常見於 MPC（多方計算）錢包 的加密方案，用來讓多個節點共同生成簽名。

研究人員認為攻擊流程可能包括：

1. 攻擊者控制或滲透一個節點（可能是新加入的 validator）
2. 利用 GG20 實作漏洞逐步取得 vault 金鑰片段
3. 累積足夠資訊後重建有效簽名
4. 以合法交易形式將資產轉出 vault

報告指出，攻擊者最終提走約：

• 36.75 BTC（約 300 萬美元）
• 約 700 萬美元其他代幣

這些資產分散於 Ethereum、BNB Chain 與 Base 等鏈上。

THORChain 的自動監控系統最終偵測到異常並停止簽名流程，令損失沒有繼續擴大。

「退款 Portal」消息為何出現混亂

事件另一個令人困惑的部分，是 關於補償或退款 portal 的矛盾報導。

部分加密媒體報導指 THORChain 在 5 月 16 日推出自託管 recovery portal，並設立 1000 萬美元 treasury 補償池。

據這些報導，portal 允許受影響用戶：

• 查詢是否符合補償資格
• 撤銷惡意 token 授權
• 提交退款申請

聲稱 共有 12,847 個錢包 符合申請資格，而申請期為 21 日，截止 6 月 4 日。

但同時間，另一批報導引用 THORChain 開發者聲明指出：

• 網上正流傳大量 假退款消息
• 官方 沒有推出任何補償計劃
• 有人利用事件散播 phishing 連結

因此，任何所謂的退款網站 若非官方渠道確認，都不應連接錢包。

攻擊後詐騙活動激增

THORChain 之後在社交平台提醒用戶，事件後出現多種騙局，例如：

• 假「退款計劃」
• 假空投（airdrop）
• 假補償申請網站

這類詐騙通常會要求用戶 連接錢包或簽署交易，一旦授權就可能再次被盜資產。

在 DeFi 黑客事件後，這類「二次詐騙」其實非常常見。

市場反應：RUNE 一度急跌

安全事故公布後，THORChain 原生代幣 RUNE 出現明顯波動。

報導指價格 24 小時內下跌約 11–12%，一度跌至 約 0.51 美元。

投資者主要擔心幾個問題：

• MPC / TSS 簽名安全
• 跨鏈流動性架構
• 驗證節點信任模型

這些都是近年 DeFi 黑客事件中反覆出現的風險。

為何這件事對 DeFi 很重要

THORChain 事件再次凸顯一個結構性問題：

跨鏈系統把安全集中在少數加密簽名機制上。

如果 TSS 或 MPC 層出現漏洞，就可能同時影響多條鏈上的資產。

同時，事件亦顯示另一個新型風險——事故後資訊混亂。

假 recovery portal 或假補償網站，往往會在漏洞事件後迅速出現，令部分受害者再次中招。

接下來會發生什麼

目前調查仍在進行中。鏈上分析公司與安全研究員正在追蹤被盜資產的流向。

部分鏈上數據顯示，攻擊地址在 數星期前已獲資金準備，暗示這次行動可能是提前策劃的攻擊，而非臨時漏洞利用。

THORChain 開發團隊亦正在評估：

• 是否升級或更換 GG20 簽名架構
• 改善 validator 節點安全
• 更新 vault 防護機制

在完整 post‑mortem（事後技術報告） 發布前，這宗事件仍然是 DeFi 安全研究的重要案例。