Sebuah Node Baru Menunggu Dua Minggu. Kemudian Mengambil $10,7J dari THORChain

** Seorang operator node nakal menguras $10,7 juta dari THORChain pada 15 Mei melalui kerentanan GG20. Berikut adalah garis waktu lengkap, respons keamanan, dan apa yang akan datang.**

Seseorang bergabung dengan Discord pengembang THORChain pada 1 Mei dengan nama pengguna Dinosauruss. Akun tersebut baru dibuat. Pertanyaannya spesifik — bagaimana cara membuat node bergabung ke jaringan, dan seberapa cepat. Interval churn tiga hari yang normal sudah tertunda karena alasan lain, yang berarti harus menunggu.

Menurut Laporan Eksploitasi THORChain #1, yang diterbitkan pada 20 Mei, alamat node penyerang (n84q) akhirnya masuk ke dalam set validator aktif pada 13 Mei. Sekitar 635.000 RUNE dari dua alamat bond. Secara acak ditugaskan ke salah satu dari lima vault, seperti operator lainnya.

Node yang Masuk dan Tidak Pernah Keluar

Selama dua hari, node tersebut berpartisipasi dalam upacara penandatanganan GG20 rutin. Tidak ada yang tampak mencurigakan. GG20, atau Gennaro-Goldfeder 2020, adalah skema tanda tangan ambang yang digunakan THORChain untuk mendistribusikan kendali kunci vault di antara operator independen. Tidak ada node tunggal yang pernah memegang kunci pribadi lengkap — dalam kondisi normal.

Celah tersebut mengubah itu. Melalui kebocoran materi kunci secara progresif di beberapa putaran penandatanganan, penyerang dilaporkan berhasil merekonstruksi seluruh kunci pribadi vault. Ketika rekonstruksi selesai, transaksi keluar ditandatangani dan disiarkan langsung, sepenuhnya di luar upacara GG20.

Pemeriksa solvabilitas reaktif mendeteksi penyimpangan tersebut dalam hitungan menit. Mereka mendeteksi bahwa saldo yang diharapkan melebihi saldo on-chain aktual lebih dari 1% di beberapa chain, memicu penghentian otomatis di ETH, AVAX, BSC, BASE, DOGE, dan GAIA tanpa campur tangan manusia. Dana tersebut, sekitar $10M berdasarkan perkiraan awal, sudah dipindahkan.

Discord Menjadi Ramai Sebelum Respon Resmi Dilakukan

Saat aktivitas jaringan berhenti, seorang anggota komunitas menandai transaksi tidak biasa: beberapa pengiriman dari router TC ke alamat Ethereum tanpa memo. Post tersebut menjadi alarm pertama yang dipicu oleh manusia. ZachXBT, di X, memperingatkan komunitas bahwa THORChain mungkin telah kehilangan lebih dari $10M di Bitcoin, Ethereum, BSC, dan Base.

Node xuuu pertama kali melakukan penundaan manual selama 720 blok. Yang lain menumpuk penundaan lebih banyak secara cepat. Sistem tata kelola THORChain dirancang untuk situasi ini: satu node tidak bisa mengunci jaringan secara permanen, tetapi beberapa node independen yang bertindak cepat dapat mempertahankan penghentian cukup lama untuk melakukan penyelidikan. Pada 15 Mei, sekitar 18 hingga 20 node menumpuk penundaan secara bersamaan.

Pemungutan suara tata kelola Mimir resmi diikuti melalui Discord. Ambang tiga suara untuk parameter operasional terpenuhi. HALTTRADING diaktifkan pada blok 26183438. HALTSIGNING pada blok 26183439. HALTCHAINGLOBAL pada blok 26183590. HALTCHURNING pada blok 26183849 — yang terakhir ini secara khusus untuk mencegah node jahat keluar dari jaringan.

Seluruh jaringan dikunci dalam waktu sekitar dua jam setelah komunitas mengangkat alarm.

Apa yang Ditemukan Penyelidikan, dan Apa yang Disembunyikan

Pernyataan publik pertama dari tim pengembang muncul pada pukul 11:01 tanggal 15 Mei, memperkirakan kerugian sebesar $7,4 juta dan menyebutkan tiga vektor yang sedang diselidiki: kerentanan GG20, kompromi infrastruktur, dan lainnya. Operator node diminta untuk mengaudit infrastruktur dan mengirim log Bifrost.

Pada pukul 19:10 hari yang sama, gambaran yang lebih jelas muncul. Forensik on-chain mengaitkan alamat node jahat thor16ucjv3v695mq283me7esh0wdhajjalengcn84q dengan alamat Ethereum yang menerima dana curian. Angka kerugian yang direvisi sekitar $10,7 juta. Koordinasi dengan Outrider Analytics dan penegak hukum sudah dimulai, menurut laporan resmi.

Lanskap keamanan DeFi pada 2026 sudah mengalami kerugian $620M melalui April saja. Insiden THORChain menambah kekhawatiran tentang kerentanan lapisan kriptografi dalam infrastruktur lintas-chain.

Patch Dirilis, Pemulihan Masih Terbuka

Pada 16 Mei, tim pemasaran mengeluarkan peringatan penipuan. Skema airdrop dan pengembalian dana palsu sudah menyebar di media sosial. THORChain mengonfirmasi bahwa mereka tidak memiliki program pengembalian dana atau airdrop aktif.

Pada 18 Mei, patch v3.18.1 hampir selesai. Tim pengembang mengatakan mereka memiliki pemahaman yang kuat tentang serangan tersebut tetapi akan menahan rincian teknis sampai proyek lain yang menggunakan implementasi GG20 yang sama dapat diberi tahu secara diam-diam dan memperbaiki sistem mereka sendiri. Semua operator node diminta untuk mengurangi skala pod Bifrost sebelum rilis.

Jalur pemulihan penuh bergantung pada tata kelola komunitas. ADR-028, Catatan Keputusan Arsitektur yang saat ini sedang dibahas, akan menentukan bagaimana dana yang hilang ditangani. Opsi yang sedang diperdebatkan termasuk pengurangan bond dan penyerapan likuiditas yang dimiliki protokol. Pendekatan yang dipilih diharapkan akan diterapkan dalam v3.19.

THORChain sudah mengidentifikasi DKLS, skema tanda tangan ambang yang lebih modern, sebagai target kriptografi jangka panjangnya. Silence Labs dilibatkan pada November 2025 untuk membangun implementasi DKLS kustom dengan abort yang dapat diidentifikasi. Pengiriman target adalah Q1/Q2 2026. Sementara itu, GG20 tetap digunakan dalam produksi. Penyerang datang pada Mei.