兄弟们，DeFi 圈又出大事了。

THORChain，这个老牌跨链 DEX，前几天刚被黑客撸走了整整 1000 万美元。而且这次不是小打小闹——直接波及到了 12,847 个钱包，横跨 BTC、ETH、BNB Chain 和 Base 四条链。换句话说，只要你在这几条链上用过 THORChain 相关服务，都有可能中招。

事情发生在 5 月 11 日凌晨，节点运营商在 02:14 UTC 发现异常交易，8 分钟内就把交易和出站签名给停了。听起来反应挺快对吧？但黑客的手更快——36.75 个 BTC（约 300 万刀）加上 BNB、ETH 和 Base 上的 700 万刀代币，已经没了。这效率，说实话比很多 CEX 的客服响应都快。

更细思极恐的是攻击手法。THORChain 用的是 GG20 阈值签名方案（TSS），理论上需要多个节点共同签名才能动资金。但黑客找到了一个漏洞，能一点点”偷窥”到金库的密钥碎片，积少成多，最后直接把私钥拼出来了。这就好比你把保险柜密码拆成三份给三个人，结果有个内鬼每天偷看一点，看了几个月，密码全知道了。

而且更可疑的是，攻击前几天刚好有个新节点加入了网络。现在项目方怀疑这个节点就是”特洛伊木马”，链上分析也发现这个节点的质押地址和接收赃款的钱包有关联。剧本都不敢这么写。

不过 THORChain 这次倒是学乖了，没有像某些项目一样装死或者甩锅。他们立刻上线了一个恢复门户，让受影响的用户可以自查损失、撤销恶意授权，还能申请退款。项目方说会从财政部拨出等额资金来赔付，用户有 21 天时间提交申请，窗口到 6 月 4 日关闭。

讲真，这波善后态度我给 7 分。但问题是——DeFi 协议的安全问题怎么就变成了”打地鼠”游戏？4 月份整个行业被盗了 6.29 亿美元，创下 2025 年 2 月以来的新高。KelpDAO 2.93 亿、Drift Protocol 2.8 亿……这些数字背后都是真金白银的用户资产。而且现在的攻击越来越不是简单的代码漏洞，而是针对桥接、权限管理和运营流程的”高级定制”。

我的观点是：TSS 和多重签名这些技术本身没问题，但实现起来只要有一点点疏忽，就是灾难。THORChain 这次的问题出在 GG20 的实现上，而不是协议设计本身。这说明什么？说明 DeFi 的安全已经进入了“细节决定生死”的阶段。一个节点的入场审查不到位，就能让千万美元蒸发。

对于普通用户，我的建议很简单：在 DeFi 里别把所有鸡蛋放一个篮子，尤其是那些跨链桥和聚合器。用的时候可以爽，但风险是真的高。THORChain 这次虽然承诺赔付，但下次呢？

21 天的倒计时已经开始。希望受影响的老铁们都能顺利拿回自己的钱。

免责声明：以上内容仅供娱乐交流，不构成任何投资建议。DYOR。

#cryptocurrencies #blockchain #DeFi