THORChain 确认发生 Asgard 钱包攻击,损失约 1070 万美元
THORChain 确认发生 Asgard 钱包攻击,损失约 1070 万美元
2026 年 5 月 15 日,THORChain 确认其一个 Asgard 钱包遭到入侵,导致约 1070 万美元的损失,并暂时停止了交易活动,目前团队和节点运营商正在进行调查并部署补救措施。公开的更新显示,用户资金不是主要的损失来源;相反,初步证据表明受到影响的是协议自有资金,自动化安全机制限制了进一步的损失。您可以通过 Cointelegraph 和 The Block 的报道,以及 The Defiant 对事件的报道来跟踪主流报道。
这次事件的意义超出了单个协议的范畴:THORChain 处于跨链流动性、验证者运营的安全以及高价值钱包基础设施的交叉点——这一设计空间持续吸引着创新和复杂的攻击。
事件经过(高层时间线)
根据 THORChain 自身的事件沟通和社区监测,关键点如下:
- 一个 Asgard 钱包出现了被入侵的迹象,网络迅速采取防御姿态,暂停交易和出站签名,以降低资金继续流动的风险。报道显示,6 个 Asgard 钱包中有 1 个被怀疑受到影响。请参阅 The Defiant 总结的报道以及 Cointelegraph 的市场广泛报道。
- 自动化检测和停止控制已激活。THORChain 的架构通过治理和安全参数支持网络和链级别的停止,旨在在达到风险阈值时停止出站活动(文档:网络停止)。
- 涉及的节点被触发罚没(slashing),因为其转账行为不符合协议规则,从而执行了 THORChain 的核心安全承诺:节点运营商在行为不当时会承担其质押的 RUNE 资本风险。THORChain 的罚没机制在其关于钱包行为的技术文档中有所描述(参见 钱包行为)。
在撰写本文时(2026 年 5 月 15 日),调查仍在进行中,细节可能会发生变化。如果您依赖 THORChain 进行兑换或提供流动性,请将其视为正在发生的事件,并关注官方状态更新。
为什么 Asgard 钱包事件很重要
THORChain 最好的理解方式是作为一个跨链钱包和结算网络。与包装资产或依赖单一托管密钥不同,THORChain 使用由一组轮换的验证者操作的阈值签名方案(TSS)钱包。这一设计在 THORChain 的架构解释中有详细说明,包括 Bifrost、TSS 和钱包 的内容,以及关于钱包如何分片和管理的细节,见 钱包行为。
Asgard 钱包是核心,因为它们持有用于执行跨链兑换的流动性。当钱包层出现问题时,影响范围可能跨越多个链——这正是“多链攻击面”的类型,也就是攻击者喜欢的目标。
内置的熔断器有助于控制损害
最重要的一点不仅在于发生了漏洞攻击,还在于网络通过停止出站活动做出了反应。
THORChain 明确支持在特定条件下停止签名和出站转账的机制,包括当罚没事件超过配置的阈值时。其意图很明确:当网络检测到funds被不当移动的行为时,它应该安全地失败,而不是开放地失败。THORChain 在其关于网络停止的开发者文档中描述了这些控制措施,并在网络安全与治理中阐述了其更广泛的安全模型。
从 DeFi 安全的角度来看,这些熔断机制很重要,因为跨链系统无法像回滚链那样“回滚”。您最好的防御措施通常是:
- 快速的异常检测,
- 暂停风险较高的路径(出站结算)的能力,
- 清晰、预先商定的激励机制,以惩罚恶意或疏忽的运营商。
用户资金 vs 协议自有资金:如何理解区别
THORChain 的初步声明和早期报道表明,受影响的价值是协议自有的,而典型的用户兑换流程并未受到广泛影响。这是一个有意义的区别,但用户应谨慎解读:
- 在跨链协议中,“用户资金安全”通常意味着用户的余额没有直接从个人钱包中被提取,并且系统认为受影响的金库分配并非主要来自用户发起的转账。
- 然而,即使亏损被归类为协议自有,一次事件仍然可能通过停机、结算延迟、路由中断或更广泛的市场影响,给用户带来次级风险。
如果您在暂停窗口临近时发起了一笔兑换,您的首要任务是核实源链上的最终性,并检查出站环节是否已完成——尤其是在多链路由场景下。
为什么停用 Churn,以及这对运营有何指示
THORChain 使用一种称为 Churn 的流程来轮换验证者集和金库成员。在正常情况下,Churn 通过限制固定群体控制签名权的时间来随着时间的推移提高安全性。THORChain 的节点运营文档概述了典型的 Churn 周期和验证者生命周期概念(参见 节点运营)。
在事件期间,暂停 Churn 是一个合理的举措,因为:
- Churn 会改变金库成员和签名动态,
- 它会使取证复杂化,
- 它会在最糟糕的时刻增加运营负担。
简而言之:先求稳定,再图恢复。
验证者问责角度:抵押和罚没仍很重要
跨链安全最终取决于攻击系统的成本。THORChain 的模型依赖于节点抵押 RUNE,如果它们签名或启用无效转账,将面临惩罚。
如果罚没机制应用得当,它将起到两个作用:
- 通过使攻击成本高昂来威慑恶意行为。
- 通过惩罚糟糕的运营安全(例如,基础设施被攻破或不安全的密钥管理实践)来减少道德风险。
THORChain 在 金库行为 中记录了金库行为与罚没之间的关系,并在 网络安全与治理 中描述了网络的安全性假设和激励机制。
为什么这符合更广泛的 2025-2026 年趋势:“跨链流动性的『安全税』”
即使跨链用户体验有所改善,该行业仍在支付不断增长的“安全税”。像 DeFiLlama 攻击数据库 这样的数据仪表板很难忽视这种模式:攻击者集中攻击那些单一的弱点就可以解锁跨链价值的系统。
这也是为什么事件后的叙述倾向于关注:
- 密钥管理和运营安全,
- 签名策略执行,
- 复杂跨链堆栈中的依赖风险,
- 以及监控和暂停触发器是否经过了正确的校准。
关于巨额亏损月份的历史背景,Immunefi 的行业损失摘要等报告有助于我们了解风险可能升级的速度(参见 Immunefi 的报告:2025 年 2 月加密货币损失)。
当前用户的实用指南
在 THORChain 和节点运营商进行调查和修复的同时,请考虑以下几点:
-
避免在部分服务中断期间仓促交易 如果交易或签名暂停,前端可能显示不一致的状态。请等待明确的确认,得知出站活动已恢复。
-
在链上而非仅在界面中验证结果 对于任何跨链兑换,请分别确认源链交易和目标链的收据。
-
默认将“恢复支持”消息视为敌意信息 漏洞利用之后,网络钓鱼会激增。请勿将钱包连接到未知的“退款”网站或签署任意消息。
-
重新检查授权和权限(EVM 用户) 如果您最近使用了路由器或智能合约,请使用信誉良好的工具审查代币授权并撤销任何不必要的授权。
像 OneKey 这样的硬件钱包在此对话中的作用
此次事件似乎源于协议层面的金库/安全操作,而非终端用户私钥泄露。尽管如此,它还是强化了一条永恒的规则:用户应该通过强大、离线的安全措施来控制密钥——尤其是在与 DeFi 和跨链应用程序交互时,这些应用程序的交易复杂性很高。
像 OneKey 这样的硬件钱包可以通过将您的私钥与可能已泄露的设备隔离,并为高风险操作(授权、合约交互和大型转账)提供更清晰、更审慎的签名流程来提供帮助。在不稳定的事件窗口期——当诈骗者活跃且界面状态可能令人困惑时——缓慢的、先验证后签名的流程是一种特性,而非缺陷。
随着 THORChain 发布更深入的技术发现和补救细节,最值得关注的信号是:确诊的根本原因、修复是否能降低系统性攻击面,以及削减(slashing)和运营需求如何有效地将节点安全激励措施沿用下去。
