토르체인, 공격자들이 4개 체인에 걸쳐 볼트 처닝 프로세스를 교란하며 약 1,100만 달러 손실

Thorchain 자금 유출

온체인 조사관 ZachXBT는 자신의 텔레그램 채널을 통해 이 사건을 최초로 알렸으며, 초기 손실액을 740만 달러 이상으로 추정했으나 이후 수정된 추산치에 따라 총액은 더 늘어났다. 이번 침해는 비트코인, 이더리움, BNB 스마트 체인, 베이스(Base)의 볼트를 타격했다.

이번 공격 방식은 '볼트 처른(vault churn)'을 노린 것으로, 이는 노드 운영자들이 교대로 진입 및 이탈하는 동안 임계값 서명 방식을 통해 자산을 재분배하는 토르체인의 표준 프로세스입니다. 공격자들은 이 과정에 악성 주소를 주입해, 시스템이 승인해서는 안 될 이체를 승인하도록 속인 것으로 보입니다.

도난당한 자산에는 약 777만 달러 상당의 이더(ETH) 3,443개, 약 297만 달러 상당의 비트코인(BTC) 36.85개, 약 6만 6,000달러 상당의 BNB 96.6개, 그리고 초기 보고에 따르면 79만 8,000 USDC를 포함한 기타 토큰들이 포함됩니다. 보안 업체들의 추적을 위해 비트코인과 이더리움 네트워크 전반에 걸쳐 도난 관련 주소 3개가 공개적으로 표시되었습니다.

노드 운영자들은 프로토콜의 미미르(Mimir) 거버넌스 설정을 통해 토르체인(Thorchain)의 분산형 글로벌 긴급 중단 기능을 발동하며 신속하게 대응했다. 이 중단 조치로 인해 블록 26190429번경부터 영향을 받은 체인에서 스왑, 볼트 처닝(vault churning), 서명 기능이 일시 중단되었다. 네이티브 체인에서의 RUNE 거래는 제한된 범위 내에서 계속되었다.

Thorchain의 네이티브 토큰인 RUNE은 ZachXBT의 경고가 나온 지 몇 시간 만에 12~15% 하락했습니다. 이 토큰은 주요 거래소에서 약 0.58달러에서 0.50달러 수준으로 떨어졌습니다. Peckshield와 Cyvers를 포함한 보안 업체들이 표시된 주소를 모니터링하는 동안 유동성 공급자와 사용자들은 여전히 대기 상태에 있습니다.

이 글을 작성하는 시점을 기준으로, X(X)상의 @Thorchain 계정은 이번 취약점에 대해 공개적으로 게시하지 않았습니다. 공식적인 사후 분석 보고서는 발표되지 않았으며, 식별된 주소의 자금은 대부분 동결된 상태입니다. Thorchain은 이전에도 프로토콜 수준의 공격을 겪은 바 있습니다. 2021년 7월, ETH 라우터를 노린 다수의 공격으로 490만 달러에서 800만 달러가 유출되었습니다. 팀은 재무 자금을 통해 손실을 충당하고 프로토콜 운영을 일시 중단해 수정에 들어갔다. 이번 취약점 공격은 이전과는 다른 위협 양상을 보이지만, 익숙한 취약점인 볼트 마이그레이션 프로세스를 노렸다. 이 프로토콜의 아키텍처는 중앙 집중식 실패 지점을 피하도록 설계되었다. 90개 이상의 분산형 노드를 운영하며, 단일 관리자 키를 보유하지 않고, 랩 자산을 사용하지 않는다. 이러한 설계는 특정 유형의 공격에는 견고했지만, 이제 볼트 마이그레이션 프로세스가 악용 가능한 표면으로 확인되었다.

Thorchain은 또한 2025년과 2026년 초, 라자루스 그룹(Lazarus Group)의 소행으로 추정되며 약 14억 달러의 손실을 초래한 바이빗(Bybit) 해킹 사건과, 1억 7,500만 달러 이상의 ETH-BTC 스왑이 관련된 켈프DAO(KelpDAO) 사건과 연계된 자금의 경로로 주목받았습니다. 이러한 자금 흐름은 프로토콜에 수수료를 발생시켰으나, 규정 준수 및 보안 연구원들로부터 비판을 받았습니다.

이 사안은 현재 진행 중인 사건입니다. 조사가 계속 진행 중이므로, 거래가 재개되고 모든 세부 사항이 확인될 때까지 유동성 공급자는 해당 프로토콜과의 상호작용을 피해야 합니다. 상황이 안정되면 Thorchain 노드 운영진으로부터 상세한 사후 분석 보고서가 나올 것으로 예상됩니다. 최신 소식은 Thorchain 문서 페이지, @Thorchain X 계정, Midgard API를 통해 순차적으로 공개될 예정입니다.