核心摘要
- 2026 年 5 月 15 日,THORChain 遭遇精心策划的 恶意验证者节点攻击,攻击者利用 GG20 门限签名方案(TSS)漏洞从 Asgard 金库窃取约 1,080 万美元 加密资产,协议暂停交易约 13 小时。
- Chainalysis 取证显示攻击者通过 Monero-Hyperliquid 隐私桥 提前数周完成资金进出路径测试——隐私协议正成为 DeFi 黑客的标准化洗钱基础设施。
- 用户资金未受影响,损失仅限 协议自有流动性(POL),但 THORChain 明确表示目前无任何退款或补偿计划——DeFi 协议的消费者保护义务在法律层面仍属真空地带。
- 跨链桥和流动性协议自 2021 年以来累计被盗 超过 28 亿美元,这一系统性安全问题正在推动全球监管机构加速制定 DeFi 安全标准和运营韧性要求。
- 事件暴露了 验证者准入机制的治理漏洞:恶意节点在未经过充分安全审查的情况下进入活体验证者集合,为后续监管提出了 “谁对验证者行为负责” 这一根本性问题。
📑 文章目录
- 事件概述 — THORChain 攻击的时间线与技术机制
- 验证者治理漏洞与 AML 合规警示 — 恶意节点如何突破安全防线、隐私协议的洗钱角色
- DeFi 安全事件的监管空白 — 消费者保护义务、跨链桥的系统性风险
- 对亚太持牌机构的合规启示 — 跨链安全审计、验证者治理标准与机构入场条件
- 常见问题(FAQ) — DeFi 安全与监管的关键问答
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 5 月 15 日上午 09:45(UTC),跨链流动性协议 THORChain 遭遇了一次精心策划的恶意验证者节点攻击。攻击者利用协议使用的 GG20 门限签名方案(TSS) 实现中的漏洞,通过伪造合法签名从六个 Asgard 金库之一窃取了约 1,080 万美元 加密资产,涵盖以太坊(3,443 ETH)、比特币(36.85 BTC)、BNB Chain(96.6 BNB)和 Base 网络。THORChain 紧急暂停所有交易和流动性操作约 13 小时,截至发稿时网络仍处于部分暂停状态(The Crypto Times,2026-05-17)。
此次事件不仅是一次技术安全事件,更是一次揭示 DeFi 协议治理漏洞 和 监管真空 的重要案例。从合规视角审视,至少三个维度值得监管机构和持牌金融机构高度关注:验证者准入机制缺乏基本的安全审查标准、隐私协议正在成为攻击者的标准化洗钱通道、以及 DeFi 协议对用户保护的 “自愿性” 承诺在法律层面近乎无效。
一、攻击机制:恶意验证者节点如何突破安全防线
与常见的智能合约漏洞利用不同,THORChain 此次攻击的核心技术路径是 验证者层面的治理攻击:
- 节点渗透:一个地址为
thor16ucjv3v695mq283me7esh0wdhajjalengcn84q的恶意验证者节点在攻击前数天通过 THORChain 的 “轮换”(Churning)机制进入活体验证者集合。该机制的设计初衷是通过定期轮换验证者来分散风险,但并未对新加入节点的安全背景进行独立审计。 - TSS 漏洞利用:攻击者利用了 GG20 门限签名方案实现中的 TSSHOCK 类漏洞。在密钥生成(keygen)和签名轮次中,恶意节点通过构造恶意证明逐步泄露金库的密钥碎片,最终在无需触发正常法定人数检查的情况下伪造了从 Asgard 金库向外的合法签名。
- 攻击预谋:Chainalysis 的取证分析显示,攻击者在发动攻击前 至少提前 2-3 周 进行了完整布局——包括通过 Monero-Hyperliquid 路径存入初始资金、在 Arbitrum 上跨链转移 USDC、质押 RUNE 绑定恶意节点、以及测试资金退出路径。攻击前仅 43 分钟,有 8 ETH 从中介钱包转入了最终接收被盗资金的地址(The Crypto Times 引用 Chainalysis 报告,2026-05-17)。
从监管角度审视,这一攻击路径的核心问题在于:验证者准入完全依赖协议内部的经济激励机制(质押 RUNE),缺乏对节点运营者的身份验证、安全审计和持续性监控要求。 在传统金融体系中,任何承担类似 “交易验证” 或 “资产托管” 功能的实体均须满足严格的 KYC/AML 和运营韧性要求;而在 DeFi 协议中,这一功能被外包给匿名的、无需任何合规审查的验证者节点。
二、隐私协议与 AML:Monero-Hyperliquid 洗钱路径的制度化
Chainalysis 的追踪揭示了一条令人警醒的洗钱路径:
- 资金来源:攻击者通过 Monero(XMR) 存入初始资金,利用 Monero 的环签名和隐匿地址技术隐藏资金来源。
- 资金转换:通过 Hyperliquid 去中心化交易所将 XMR 兑换为 USDC,完成隐私币到稳定币的转换。
- 跨链转移:USDC 提取至 Arbitrum 网络,再跨链至 Ethereum。
- 质押恶意节点:数十万美元的 ETH 用于质押 RUNE,绑定恶意验证者节点。
- 退出测试:攻击前数小时,部分 ETH 通过 Arbitrum → Hyperliquid → Monero 路径回流——这是对整个退出路径的完整预演。
这条路径的意义远超单一事件。它表明:隐私协议(Monero)与去中心化交易所(Hyperliquid)的组合,正在成为 DeFi 攻击者的标准化资金进出通道。 对于持牌金融机构和监管机构而言,这意味着现有的 AML 框架(以中心化交易所的 KYC 为关键控制点)存在结构性漏洞——攻击者的资金流在进入和退出环节均绕过了受监管实体。
值得关注的是,THORChain 自身此前也曾面临类似的合规困境:当 Lazarus Group 等受制裁实体利用 THORChain 进行大规模洗钱时(如 KelpDAO 被盗的约 1.75 亿美元资金流经 THORChain),协议方面拒绝使用紧急关停能力进行阻断,理由是 “去中心化协议不应选择性审查交易”。然而,当此次攻击威胁到协议自有流动性时,团队在数小时内就部署了网络暂停。这一双重标准引发了关于 DeFi 协议治理的深刻讨论:去中心化是否应成为规避合规责任的挡箭牌?(CryptoSlate,2026-05-17)
三、DeFi 安全事件的监管真空与消费者保护缺口
THORChain 事件凸显了 DeFi 协议在消费者保护层面的根本性缺陷:
3.1 “无补偿义务”——DeFi 协议的法律灰色地带
事件发生后,THORChain 官方明确声明:“目前还未开展任何退款或补偿计划”,并警告用户警惕社交媒体上声称提供退款或空投的虚假账号(THORChain 官方 X 公告,2026-05-16)。
这一声明的合规含义是:对于协议自有流动性(POL)的损失,协议方面不存在任何法律或契约层面的补偿义务。 在传统金融体系中,持牌托管机构(如银行、信托公司)对客户资产承担信义义务(fiduciary duty)和法定托管责任;但在 DeFi 协议中,流动性提供者(LP)与协议之间的关系是纯粹基于智能合约代码的,不涉及任何受监管的信托或保管关系。一旦发生安全事件,LP 的法律救济手段极其有限。
3.2 跨链桥的系统性风险——28 亿美元的历史账单
THORChain 并非孤例。自 2021 年以来,跨链桥和流动性协议累计被盗金额已 超过 28 亿美元:
| 协议 | 时间 | 损失金额 | 攻击类型 |
|---|---|---|---|
| Ronin Bridge | 2022年3月 | ~$625M | 验证者节点私钥泄露 |
| Wormhole | 2022年2月 | ~$326M | 智能合约漏洞 |
| Nomad Bridge | 2022年8月 | ~$190M | 验证逻辑缺陷 |
| Bybit(交易所) | 2025年2月 | ~$1.5B | 前端界面篡改 |
| Kelp DAO | 2026年 | ~$293M | 安全漏洞 |
| THORChain | 2026年5月 | ~$10.8M | 恶意验证者 + TSS 漏洞 |
全球监管机构已开始对这一系统性风险做出反应。欧盟 MiCA(加密资产市场监管) 框架明确要求加密资产服务提供商(CASP)建立运营韧性机制,包括安全事件响应计划;新加坡 MAS 在 2026 年支付服务法规修订中新增了对数字支付代币服务商的网络安全审计要求;香港 SFC 对持牌虚拟资产交易平台的指引中也包含了系统安全与客户资产保护条款。但现行监管框架均以 中心化持牌实体 为适用对象,对于去中心化协议(无明确法律实体、无注册地、无负责人的 “三无” 结构)如何适用,各国监管机构仍在探索中。
四、对亚太持牌机构的合规启示
THORChain 事件对亚太区持牌金融机构——尤其是有意涉足 DeFi 或跨链业务的机构——提供了以下合规参照:
- 跨链安全审计应作为业务准入的前置条件:在评估 DeFi 协议或跨链流动性方案时,持牌机构应将独立第三方安全审计报告、验证者准入机制审查和 TSS 实现版本验证纳入尽职调查清单。THORChain 事件表明,单纯的经济激励模型(质押 RUNE)不足以替代基于身份和信誉的安全审查。
- 隐私协议的 AML 风险需纳入机构风控框架:Monero-Hyperliquid 洗钱路径的制度化意味着,持牌机构在处理涉及隐私币或去中心化交易所的资金流时,应适用增强型尽职调查(EDD)措施。对于直接或间接与隐私协议交互的交易对手,建议设置额外的交易监控阈值。
- 消费者保护义务在 DeFi 场景中的重新定义:如果持牌机构通过 DeFi 协议为客户提供收益或流动性服务,在协议发生安全事件时,持牌机构自身可能面临客户索赔。建议在客户协议中明确披露 DeFi 协议的安全风险,并根据协议的安全成熟度设置差异化的风险敞口上限。
- 密切关注监管动态:预计 2026 年下半年,FCA、MAS 和香港 SFC 均可能出台针对 DeFi 协议的专项监管指引。持牌机构应建立监管跟踪机制,及时调整合规策略。
常见问题(FAQ)
THORChain 事件中用户资金是否安全?如果没有损失,为何还需要关注合规问题?
本次事件中 用户控制的钱包和个人流动性仓位未受影响,损失仅限协议自有流动性(POL)。但这不能掩盖一个核心合规隐患:如果下次攻击发生在用户资金所在的流动性池,协议方面没有法律义务进行赔偿。 DeFi 协议不存在传统金融中的存款保险、投资者赔偿基金或监管资本缓冲机制。对于持牌机构而言,通过 DeFi 协议为客户提供服务的法律风险敞口远大于传统金融产品——这恰恰是需要合规关注的根本原因。
现行金融监管框架能否直接适用于 THORChain 这类去中心化协议?
存在显著的适用性障碍。 现行监管框架(包括 MiCA、新加坡 PSA、香港 AMLO)的设计对象是 具有明确法律实体和注册地的中心化服务提供商。THORChain 作为一个由匿名验证者节点运营、无法律实体和注册地的协议,不满足任何法域下 “持牌实体” 的基本定义。当前监管讨论的方向包括:(1)以协议开发者和治理代币持有者为监管切入点;(2)对与 DeFi 协议交互的持牌机构施加额外的合规义务;(3)通过交易所和法币通道进行间接管控。预计 2026-2027 年将是全球 DeFi 监管框架加速成型的关键窗口期。
本文基于以下信源撰写:The Crypto Times(2026-05-17,含 Chainalysis 取证分析)、CryptoSlate(2026-05-17)、THORChain 官方 X 公告(2026-05-16)、吴说区块链(2026-05-17)。