THORChain再遭重创：已知漏洞未修补导致1070万美元被盗

五年三次被盗，THORChain的安全隐患再次暴露

原文作者：Rekt 原文编译：深潮 TechFlow 导读：五年三次被盗、2 亿美元资不抵债、帮朝鲜洗 12 亿美元，甚至创始人 jpthor 的个人钱包都被朝鲜黑客用假会议骗了 120 万。这次不是运气不好，而是已知漏洞的补丁存在代码库里九天却没人部署——当维护推迟变成常态，责任该算在谁头上？

THORChain与朝鲜的复杂关系

五年三次被盗。还有一次 2 亿美元的资不抵债危机。再加上为朝鲜洗掉的 12 亿美元。 THORChain 和朝鲜的关系，比大多数协议愿意承认的都要深。 朝鲜甚至回报了这份情谊，在 2025 年 9 月通过假会议骗局从联合创始人 jpthor 的个人钱包里提走了 120 万美元。

新一轮攻击事件回顾

这不像是通往成功的配方，反而更像是灾难的预兆。 然后在 5 月 15 日早上，又有 1070 万美元被盗。 到某个时刻，问题已经不再是"这是怎么发生的"，而是"为什么还有人期待会不一样"？ 2026 年 5 月 15 日，THORChain 的 Asgard 金库在多条链上被快速抽干。

自动偿付检查器触发暂停

THORChain 自己的自动偿付检查器触发了暂停——这是从 2021 年 7 月的惨案中诞生的唯一安全升级——并冻结了网络 12 小时 42 分钟。 金库的设计没问题。资金还是没了。 RUNE 在世界大部分人读完 ZachXBT 的 Telegram 帖子之前就跌了 15%。 市值在几分钟内蒸发了 2700 万美元。

安全审计未能覆盖关键组件

这是一个曾经盯着深渊并继续建设的协议。但把同一个伤口一次次称为"学习经验"是有限度的。 当漏洞类型已经被记录，补丁已经存在，资金还是没了的时候，推迟维护什么时候从疏忽变成了过失？ ZachXBT 最先看到。 5 月 15 日早些时候，他的 Telegram 频道发布了一条社区警报：THORChain 很可能在比特币、以太坊、BSC、Base 上被攻击，损失超过 1070 万美元。

技术分析揭示攻击细节

TRM Labs 后来将确认的范围扩大到至少九条链——在最初的四条基础上增加了 Avalanche、Dogecoin、Litecoin、Bitcoin Cash 和 XRP——并将总损失上调到超过 1100 万美元。 Arkham 标记了攻击者钱包。 但抽干已经完成了。 PeckShield 公开确认：约 1000 万美元被抽干，包括 36.75 BTC 和约 700 万美元的资产，分布在 BNB Chain、以太坊和 Base 上。

节点轮换机制成攻击突破口

THORChain 自己的基础设施在团队之前就动了。 THORChain 的 Mimir 治理模块将交易暂停和签名暂停参数翻转为活跃状态，节点暂停从区块 26190429 开始运行约 12 小时 42 分钟。 不需要人类做决定。 在 ZachXBT 宣布后超过 5 小时，THORChain 发布了一份官方声明，确认链上数据已经说明的事情：六个 Asgard 金库中的一个被攻破了。1070 万美元没了。

攻击者利用已知漏洞

保护受影响金库的节点运营商因未经授权的转出交易而被削减质押的 RUNE。轮换暂停。链上架无限期推迟。初步迹象显示没有个人用户的交易受到影响。 THORSwap 和 Metro.exchange 立即停止了 THORChain 路由。 Maya Protocol 出于谨慎暂停。 ATOM 交易陷入黑暗。 替代提供商——Chainflip、NEAR Intents、Harbor、Flashnet、Garden、1inch——继续运行，未受影响。

未来改进计划

当生态系统争先恐后时，链上记录已经在讲述一个不同的故事。 在指向原因的最早信号中：banteg 标记了一个对 THORNode 的 GitLab 提交，创建于 5 月 6 日——攻击前九天——标题为"签署完整的 ObservedTx 包装器以防止提议者伪造"。 补丁是存在的。它有名字和时间戳。它从未发布。 这个提交将被证明是更大织物中的一条线，不是根本原因，但是已知和已做之间差距的早期指标。