Cryptonews

V12 称 THORChain 默默地修补了其关键错误,然后告诉研究人员赏金“永久退休”

Source
CryptoNewsTrend
Published
V12 称 THORChain 默默地修补了其关键错误,然后告诉研究人员赏金“永久退休”

一家安全初创公司表示,在该跨链协议修补了该公司之前披露的一个关键漏洞后,该公司打算在未来几天内公开发布针对未修补的 THORChain 漏洞的利用代码,但未注明或付款。

V12 是一家构建自动化代码审计工具的初创公司,最近发布了 Linux 内核漏洞,该公司在 X 上的一篇文章中表示,它向 THORChain 报告了一个“严重的资金损失”漏洞,该协议“悄悄地修补了它”,而且 THORChain 的代表告诉该公司,其漏洞赏金计划已永久终止。 V12 表示,它持有额外的 THORChain“链停止”拒绝服务漏洞,计划公开披露这些漏洞,并发布了概念验证代码存储库。

提议者伪造错误

此次披露大约是在 THORChain(锁定总价值约 3000 万美元的跨链流动性协议)于 5 月 15 日从其六个 Asgard 金库之一损失估计 1070 万美元之后大约三周后进行的。包括 Blockaid 和链上调查员 ZachXBT 在内的安全研究人员将该漏洞归因于 THORChain Bifrost 证明系统中的一个提议者伪造漏洞,该漏洞与 5 月 6 日提交的 THORChain 代码中的漏洞相同。修复。

该补丁名为“签署完整的 ObservedTx 包装器以防止提议者伪造”,但从未部署;研究人员表示,在攻击之前,该协议的自动测试和推出过程都失败了。根据 DefiLlama 和 CoinGecko 的数据,RUNE 在漏洞利用当天下跌了 15%,目前交易价格接近 0.49 美元,比过去一年下跌了约 87%。

自 2021 年以来,THORChain 多次遭到黑客攻击,并处理了价值 14 亿美元的 Bybit 黑客攻击中的大部分洗钱活动。

V12 说它发现了什么

根据该公司发布的消息截图,V12 表示,它于 4 月 28 日联系 THORChain,“负责任地披露”它所谓的可能的关键漏洞,共享补丁文件、概念验证脚本和报告。

在这些消息中,V12 描述了一个缺陷,其中充当 CometBFT 区块提议者的单个恶意验证者可以通过在诚实证明的交易上伪造未签名的最终数据来“绕过所有确认要求”,导致 THORChain 在源存款得到确认之前释放出站资金。该公司表示,该问题影响了与 THORChain 集成的每个外部链,并且在正常的提议者轮换期间可以被任何活跃的验证者利用。

当 V12 跟进付款事宜时,THORChain 的一位联系人回复称,他们“不知道 THORChain 目前正在运行任何错误赏金”,并表示团队“很久以前”就停止了该计划(根据屏幕截图)。 V12 随后询问,即使是严重的错误,是否也没有赔偿。

图片中联系人的身份已被编辑。 V12 的帐户依赖于它自己发布的消息,呈现交换的一方面; THORChain 尚未证实其真实性或所披露的错误是否存在。

从未发布的补丁

根据 THORNode 提交历史记录,THORChain 的开发人员于 5 月 6 日编写了针对提议者伪造错误的修复程序,即 5 月 15 日漏洞利用的九天前。 Blockaid 对攻击的分析发现,验证者签名没有覆盖交易的入站或出站字段,从而使提议者将真实的入站观察结果翻转为向攻击者控制的地址的出站支付。研究人员表示,5 月 6 日的补丁确实解决了这一问题,但未能及时完成协议的持续集成过程,并且没有及时向验证者推出。

V12 漏洞表示,它于 4 月 28 日披露,其描述与补丁以及研究人员指责的漏洞几乎相同。

THORChain 尚未发布完整的事后分析,也没有确认所披露的错误和被利用的错误是相同的,V12 也没有在其帖子中明确声称 5 月 15 日的攻击者使用了其发现。 Blockaid 和 ZachXBT 表示,他们相信 5 月 15 日的攻击者与 2025 年 3 月 1inch Fusion V1 攻击的幕后黑手是同一人。

THORChain 的自动防御确实包含了 5 月 15 日的事件:节点运营商触发了全网停止,冻结了交易、签名和验证者流失约 13 个小时,该团队表示没有个人用户交换受到影响。该协议通过 Discord 和 X 披露了损失,正如 Defiant 关于 Asgard 金库泄露的报告中所述。

V12 的报告与 5 月 15 日漏洞之间的联系虽然在公司的描述、补丁提交和第三方取证分析中保持一致,但尚未得到 THORChain 的确认或 V12 的直接声明。

撤退中的赏金计划

在发生一系列漏洞后,THORChain 于 2021 年在 Immunefi 上启动了 50 万美元的漏洞赏金。后来,它在争议中离开了该平台,转向了一个自托管程序,研究人员称该程序已于 2026 年 3 月退役,即 5 月份漏洞利用的两个月前。 2024 年 11 月,研究员 Luke Parker 公开指责该协议在平台撤回其 Immunefi 项目后

V12 称 THORChain 默默地修补了其关键错误,然后告诉研究人员赏金“永久退休”