核心摘要
- 2026 年 5 月 15 日,跨链流动性协议 THORChain 因 GG20 门限签名方案(TSS)漏洞遭恶意节点利用,12,847 个钱包受损,损失约 1,080 万美元,覆盖比特币、以太坊、BNB Chain 及 Base 四条公链。
- 攻击者为 预谋型操作,提前数周通过 Monero-Hyperliquid 隐私桥洗入资金,绑定 RUNE 建立恶意验证节点,逐步泄露密钥碎片,最终离线重构完整私钥并签署未经授权的转出交易。
- THORChain 已部署 1,000 万美元国库赔付门户,用户须于 2026 年 6 月 4 日前提交索赔,未申领资金将转入协议保险基金;THORSec、Outrider Analytics 及执法机构已介入取证。
- 事件暴露 DeFi 协议在紧急权力使用上的 双重标准:此前 Bybit $15 亿被盗资金中大量通过 THORChain 洗出时拒绝暂停网络,但自身流动性受损后数小时内即触发 Mimir 治理模块冻结全部操作。
- 对于亚太地区 PI/EMI/VASP 持牌机构,该事件在 DeFi 交易对手风险管理、操作韧性评估及反洗钱合规三个层面具有直接参照意义。
📑 文章目录
- 事件概述 — 攻击时间线、受损规模与即时响应措施
- 攻击路径与溯源技术 — GG20 TSS 漏洞原理、链上取证与资金追踪
- 赔付机制与治理争议 — 国库赔付门户、紧急暂停的合规悖论
- 对持牌支付机构的合规参照 — DeFi 交易对手风险、操作韧性与 AML/CFT 考量
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 5 月 15 日,去中心化跨链流动性协议 THORChain 因其 GG20 门限签名方案(Threshold Signature Scheme, TSS)实现中的漏洞遭到攻击,损失约 1,080 万美元。这是 2026 年以来 DeFi 领域又一起千万级安全事件——此前的 4 月,KelpDAO($2.93 亿)和 Drift Protocol($2.8 亿)已创下单月 $6.3 亿的 DeFi 损失纪录(The Crypto Times,2026-05-17)。对于持牌机构而言,每一次 DeFi 安全事件都是一次合规压力测试——它检验的不是协议本身的合规水平,而是与其发生资金交互的受监管实体在交易对手风险管理和操作韧性方面的准备程度。
事件概述
攻击发生于 UTC 时间 2026 年 5 月 15 日 09:45 前后。链上调查员 ZachXBT 首先在社交平台上标记 THORChain 的 Asgard 金库存在异常资金流出,初始估计约 $740 万;数小时内,安全公司 PeckShield、Cyvers 与 Arkham Intelligence 联合确认损失规模扩大至 $1,080 万(Blockchain.News,2026-05-16)。
具体损失分布为:以太坊 3,443 ETH(约 $777 万)、比特币 36.85 BTC(约 $297 万)、BNB Chain 96.6 BNB(约 $6.6 万),其余资产位于 Base 链。受影响钱包总数为 12,847 个,但需注意——被盗资金全部来自协议自有流动性(Protocol-Owned Liquidity, POL),用户自主托管的钱包和外部资产未被触及。
THORChain 节点运营者在检测后 8 分钟内通过 Mimir 治理模块执行了”make pause”指令,于区块 26190429 冻结全部交易、互换、流动性操作及签名功能,持续约 13 小时(Whale Alert,2026-05-16)。截至 5 月 16 日,被盗资金仍处于休眠状态,未被进一步转移。
攻击路径与溯源技术
此次攻击的核心技术路径是 GG20 TSS 密钥碎片泄露。THORChain 使用多方计算(MPC)门限签名方案来管理跨链金库,将签名控制权分布在多个验证节点之间,避免单点私钥风险。但开发团队事后分析指出,该 TSS 实现在密钥生成和签名轮次中逐步泄露了密钥材料,攻击者收集到足够碎片后离线重构出完整私钥,从而签署了未经授权的金库转出交易——这一攻击向量与已知的 TSSHOCK 类 CVE 原理相似(The Crypto Times,2026-05-16)。
链上分析公司 Chainalysis 的取证工作揭示了攻击前数周的完整准备链路:攻击者于 4 月下旬通过 Monero-Hyperliquid 隐私桥存入门罗币,在 Hyperliquid 上兑换为 USDC 后提至 Arbitrum、跨链至以太坊,再将数百 ETH 转入 THORChain 绑定 RUNE,建立了恶意验证节点 thor16ucjv3v695mq283me7esh0wdhajjalengcn84q——该节点在攻击发生前仅数日加入活跃验证集合。攻击前约 43 分钟,一笔 8 ETH 从关联中间钱包转入最终接收被盗资金的地址,被调查人员视为确定攻击者身份的”铁证”(smoking gun)。
攻击者还事先演练了退出路径:将多余 ETH 分支通过 Arbitrum→Hyperliquid→Monero 的逆路径洗回隐私币,最后一笔演练交易在攻击开始前不到 5 小时完成。Chainalysis 已将所有已知退出路径上的中心化交易所和跨链桥列入监控通知清单。
赔付机制与治理争议
THORChain 国库已拨出 1,000 万美元赔付池,通过官方门户(swap.thorchain.org)向受影响流动性提供者开放索赔。用户可通过该门户撤销恶意代币授权并提交退款申请,申领截止日期为 2026 年 6 月 4 日,未申领资金将转入协议保险基金。团队同时警告存在冒充官方渠道的钓鱼账号散布虚假”退款”和”空投”信息。
但此次事件引发的治理争议不亚于技术层面的教训。THORChain 历史上两次成为大规模洗钱通道——2025 年 2 月 Bybit $15 亿被盗资金和 2026 年 4 月 Lazarus Group 通过 KelpDAO 窃取的约 $1.75 亿 ETH 均经由 THORChain 洗出——而协议领导层当时以”无需许可基础设施”为由拒绝在网络层面进行交易审查或紧急暂停。然而,当协议自有流动性受损时,Mimir 治理模块在数小时内即被激活——这一反差引发了外界对其“去中心化原则是否被选择性应用”的质疑。
在治理技术层面,讨论中的修复方案包括:罚没恶意节点的 RUNE 质押金(slashing)、通过 POL 吸收损失、以及探索社区补偿机制。更广泛地,事件推动了对 TSS 协议标准化的行业讨论——当前每条主流跨链协议均运行自研 TSS 变体,新方案 CGGMP21 和 cggmp24 提供了更强的抗攻击保证,此次事件可能加速迁移进程。自 2021 年以来,跨链桥和流动性协议累计被盗金额已超过 $28 亿(Chainalysis 数据)。
对持牌支付机构的合规参照
THORChain 漏洞利用事件虽然发生在去中心化协议层面,但对持牌支付机构(PI/EMI)和虚拟资产服务提供商(VASP)具有三个维度的直接合规参照意义。
第一,DeFi 交易对手风险管理。越来越多的持牌机构通过 DeFi 协议进行流动性部署、跨链结算或收益策略操作。THORChain 事件表明,协议的技术安全性不仅取决于智能合约审计,还包括验证节点准入机制、密钥管理方案(TSS 实现质量)及操作人员的硬件隔离水平。对于持牌机构而言,将 DeFi 协议的技术风险纳入交易对手尽职调查框架——类似传统金融中对代理行和托管行的风险评估——正在从”最佳实践”向”监管期待”转化。香港金管局(HKMA)和新加坡金管局(MAS)在操作风险管理和外包指引中均已要求持牌机构对外部技术依赖进行独立评估。
第二,操作韧性与应急响应能力。THORChain 能够在检测后 8 分钟内暂停网络,展示了去中心化治理在特定条件下的响应效率。但这恰好暴露了问题的另一面——同样的应急能力在协议被用于洗钱时未被激活。对于持牌机构而言,监管机构日益要求 “操作韧性”不仅覆盖自身系统故障,还须包括所依赖第三方基础设施在压力场景下的行为一致性评估。英国 PRA 的操作韧性政策(PS6/21)和欧盟 DORA 法案均将第三方/第四方 ICT 依赖纳入监管范围,持牌机构须确保其 DeFi 交互路径上的所有节点在合规压力下不会出现选择性执行。
第三,反洗钱/反恐怖融资(AML/CFT)义务的边界延伸。FATF 在 2025 年第 6 次虚拟资产建议更新中明确要求各国将 DeFi 协议纳入 AML/CFT 监管范围,强调”去中心化不等于不监管”。THORChain 作为 Bybit 和 KelpDAO 被盗资金的洗钱通道,凸显了无许可基础设施在被恶意利用时的监管真空——这对持牌机构构成间接风险:如果持牌机构的客户资金通过合法渠道进入受监管实体、再间接暴露于存在洗钱争议的 DeFi 协议,持牌机构的交易监控系统能否穿透识别并触发风险评估,可能成为监管审查的新焦点。新加坡 MAS 在 2026 年 FATF 互评估报告中已被要求加强对虚拟资产服务提供商在 DeFi 交互风险方面的监管指引。
常见问题(FAQ)
THORChain 此次损失由谁承担?普通用户资金是否安全?
被盗资金全部来自 THORChain 的 协议自有流动性(POL),用户自主托管的钱包和外部存放于协议中的资产未受影响。THORChain 国库已拨出等额的 1,000 万美元赔付池,受影响流动性提供者须于 2026 年 6 月 4 日前通过官方门户提交索赔。简言之,损失由协议国库吸收,不涉及用户自有资产的直接追偿问题。
持牌支付机构是否需要将 DeFi 协议安全事件纳入合规风险评估?
是的。虽然当前尚无监管规定明确要求持牌机构对 DeFi 协议进行强制性安全审计,但 交易对手风险管理和 操作韧性评估的义务范围正在扩大。香港、新加坡及英国的监管机构在操作风险指引中已将”第三方技术依赖”纳入监管期待。持牌机构应至少建立 DeFi 交互暴露清单,并对关键交互路径上的协议进行定期安全评估——特别是在验证节点准入、密钥管理和应急治理三个维度。
本文基于以下一手信源撰写:
- Blockchain.News — “THORChain Opens Refund Portal After $10M Hack”(2026-05-16)
- The Crypto Times — “THORChain Incident Update: Malicious Node and GG20 TSS Exploit Suspected”(2026-05-16)
- The Crypto Times — “$10.8 Million Drained: Inside the THORChain Exploit”(2026-05-17)
- Whale Alert — “THORChain confirms $10M exploit, launches recovery portal”(2026-05-16)
- Cointelegraph — “THORChain confirms $10M exploit, rolls out recovery portal for affected users”(2026-05-16)