THORChain漏洞报告详解：1070万美元金库被盗及ADR-028恢复路径_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

THORChain漏洞报告详解：1070万美元金库被盗及ADR-028恢复路径

2026-05-21 18:47:11

THORChain首次对事件进行了详细剖析，向市场更全面地说明了5月15日发生的漏洞利用事件。该事件从一个协议库中盗取了约1070万美元，并迫使全网启动了紧急管控措施。此次更新将早前的THORChain漏洞警报转化为更清晰的安全案例，明确了攻击路径、具体的响应时间线，并将恢复决策通过ADR-028纳入治理流程。

攻击路径与损失修正

攻击者是一名新更替的节点运营商，于5月13日携两个绑定地址中约63.5万枚RUNE进入活跃验证者集。两天后，攻击者据称重构了金库私钥，绕过了正常的GG20签名流程，通过未经授权的转出交易清空了目标金库。损失金额随后从最初估计的约740万美元修正为约1070万美元。

此次事件未影响SOL池，因其使用基于EdDSA的签名方式，而非漏洞分析中指出的GG20路径。其他金库也未受损。这一区别表明问题集中在THORChain的阈值签名安全层，而非所有支持的资产均遭泄露或底层连接链存在故障。

安全层已响应，但资金已转出

当金库余额超出预期水平后，THORChain的自动偿付检查机制在数分钟内触发。反应式偿付系统在未经授权交易发生约52分钟后，停止了ETH、AVAX、BSC、BASE、DOGE和GAIA链上的签名与交易。但该保护的局限在于时机：攻击者已直接签名并广播了交易，检查器只能在金库遭受攻击后检测到余额异常。

随后，人工管控将应对措施升级为更广泛的网络暂停。社区警报在UTC时间5月15日09:08升级，节点运营商连续设置了多个一小时的暂停窗口，Mimir治理投票则激活了全网紧急参数。通过节点间的协调行动，交易、签名、链观察及节点更替均被暂停，其中节点更替的暂停旨在阻止恶意节点离开并防范调查期间出现可疑的更替行为。

当前的直接修复路径是补丁v3.18.1，该补丁旨在持续进行根本原因调查的同时保护其余金库。同时提醒用户，目前没有主动的退款、空投或补偿计划——鉴于高调漏洞恢复事件后常出现冒充诈骗，这一点对用户安全十分必要。

ADR-028将恢复工作纳入治理

ADR-028现已成为追回损失资金的主要路径。治理机制将决定损失处理方式：是通过节点抵押罚没、协议自有流动性、其他恢复方案还是混合方式。预计节点运营商达成广泛共识后，所选方案将通过v3.19版本实施。

治理路径至关重要，因为此次漏洞同时冲击了协议的资产负债表与安全假设。抵押罚没会将损失转移至与受影响金库相关的节点抵押品，而协议自有流动性则通过网络资源分摊恢复成本。最终方案必须恢复偿付能力，同时避免为未来的节点行为、流动性提供或应急协调留下不良先例。

后续披露的关键信息

接下来的官方披露对用户、流动性提供者和节点运营商具有实际意义：最终根本原因分析、v3.18.1部署状态、ADR-028投票路径、选定的损失吸收机制以及恢复正常THORChain活动的条件。在这些事项确定之前，此次漏洞利用事件仍是一个持续的治理与安全事件，而非已结束的善后报告。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文