THORChain 于 2026 年 5 月 15 日遭遇跨链漏洞攻击，逾 $10.7M 协议资产被盗，RUNE 单日暴跌 15%。本文拆解攻击路径、GG20 TSS 漏洞机制，以及 DeFi 投资者需要知道的安全应对策略。概述 2026 年 5 月 15 日，跨链流动性协议 THORChain 证实遭受重大安全漏洞攻击，据 The Block 报道，此次攻击中协议自有资金损失约 1,070 万THORChain 于 2026 年 5 月 15 日遭遇跨链漏洞攻击，逾 $10.7M 协议资产被盗，RUNE 单日暴跌 15%。本文拆解攻击路径、GG20 TSS 漏洞机制，以及 DeFi 投资者需要知道的安全应对策略。概述 2026 年 5 月 15 日，跨链流动性协议 THORChain 证实遭受重大安全漏洞攻击，据 The Block 报道，此次攻击中协议自有资金损失约 1,070 万

DeFi 安全再亮红灯：THORChain 遭黑客盗走逾 1000 万美元

#热点话题

2026/05/19 15:47

THORChain 于 2026 年 5 月 15 日遭遇跨链漏洞攻击，逾 $10.7M 协议资产被盗，RUNE 单日暴跌 15%。本文拆解攻击路径、GG20 TSS 漏洞机制，以及 DeFi 投资者需要知道的安全应对策略。

概述

2026 年 5 月 15 日，跨链流动性协议 THORChain 证实遭受重大安全漏洞攻击，据 The Block 报道，此次攻击中协议自有资金损失约 1,070 万至 1,080 万美元。攻击横跨比特币、以太坊、BNB Chain 与 Base 等至少四条主链，但官方表示用户个人资产未受波及。这是 THORChain 自 2021 年以来遭遇的又一次重大安全事件，也是 2026 年 DeFi 安全危机持续升级的最新缩影。

事件发生后，THORChain 的原生代币 RUNE 在 24 小时内大幅下跌，协议全面暂停交易与签名操作。随后官方于 5 月 16 日开放赔偿申请通道，并承诺针对受影响的 12,847 个钱包提供treasury资金保障。

对于在 MEXC 上持有 RUNE 或关注 DeFi 安全格局的投资者而言，这一事件值得深入了解其技术根源与后续影响。

Key Takeaways

2026 年 5 月 15 日，THORChain 一个 Asgard 金库遭到入侵，协议自有资金损失约 $10.7M，用户资金未受直接影响

攻击者利用 GG20 门限签名方案（TSS）漏洞，逐步泄露金库密钥材料，最终伪造合法签名完成资金转移

RUNE 代币在事件发生后 24 小时内下跌约 12%—15%，市值缩水超过 2700 万美元

链上调查员 ZachXBT 与安全公司 PeckShield 最早识别异常行为；网络自动暂停机制在 8 分钟内触发

攻击涉及 9 条区块链，波及面之广在协议历史上前所未有

THORChain 于 5 月 16 日启动 $10M 赔偿门户，受影响用户须在 6 月 4 日前提交索赔申请

2026 年至今，加密市场因黑客攻击累计损失已超 $8 亿，DeFi 安全形势持续恶化

THORChain 是什么，为何会成为攻击目标

THORChain 成立于 2018 年，总部注册于瑞士，是当前 DeFi 生态中规模最大的原生跨链流动性协议之一，支持用户在不依赖中心化中介或跨链桥包装代币的前提下，直接完成不同公链原生资产的兑换。

这种设计在便利性上颇具吸引力，但同时带来了显著的攻击面扩张——协议需要在超过 10 条公链上同步管理金库、处理签名请求，任何一条链的实现层出现缺陷，都可能影响到整个跨链路由层。

正因如此，根据 TRM Labs 的追踪分析，THORChain 既是攻击者的目标，也曾多次沦为黑客资金的洗钱通道——包括 2025 年 Bybit 被盗的 15 亿美元，以及 2026 年 4 月 KelpDAO 约 3 亿美元黑客事件的资金流转。

攻击经过：GG20 漏洞如何被利用

根据 Crypto Times 的深度拆解，此次攻击的核心在于 THORChain 使用的 GG20 门限签名方案（TSS）实现存在安全漏洞。

THORChain 通过 GG20 将单个私钥切分成多个密钥分片，分散由多个节点持有，理论上任何单一节点都无法独立完成签名操作。然而攻击者以节点运营商身份入网后，在多轮密钥生成（keygen）或签名（signing）周期中，利用 GG20 实现层的缺陷，逐步泄露金库参与者的密钥材料，最终在链下重组出足够多的私钥分片，伪造出被网络视为合法的对外交易签名。

从网络的视角来看，这些转账看起来完全正常——这也是自动防护机制没能提前拦截的原因。

PANews 的报道指出，初步证据显示，事件与一个近期新加入的验证节点有关，链上数据显示该节点的 bonding 地址与收到被盗资产的钱包之间存在关联。

攻击最终波及至少 9 条区块链，被盗资产包括约 36.75 BTC（约合 $300 万）以及分布在以太坊、BNB Chain 等链上的约 $700 万其他代币，总损失约 $1,080 万。

Ledger 首席技术官 Charles Guillemet 随后公开指出，GG18/GG20 系列协议历史上已多次暴露关键漏洞——在某些已知攻击场景中，单个被入侵的联署方即可重建完整签名密钥。这一评论迅速在安全社区引发了对跨链协议底层密码学架构的广泛讨论。

应急响应：网络如何自动止损

从整个事件的时间线来看，THORChain 的应急响应相对迅速。

链上调查员 ZachXBT 与安全公司 PeckShield 在北京时间 5 月 15 日下午率先发现异常，The Record 的报道记录了这一早期预警过程。THORChain 的自动化监控系统在 8 分钟内识别到异常行为，并触发了"make pause"指令，在第 26190429 个区块处冻结了全部交易、流动性操作与签名功能。

按照 Crypto Times 的分析，网络暂停持续约 12 小时 42 分钟，为核心团队与外部安全合作伙伴争取了必要的取证窗口。

5 月 16 日，THORChain 发布官方声明，强调用户资金未受损失，并警告社区提防在 X（原推特）上传播的虚假赔偿链接——部分骗局帖子声称超过 12,847 个钱包符合退款条件，诱导用户连接钱包，实为二次钓鱼攻击。

赔偿机制：受影响用户的索赔路径

5 月 16 日，THORChain 正式上线赔偿申请通道，由协议国库提供资金支撑，覆盖范围为此次攻击中受到影响的 12,847 个钱包，涉及比特币、以太坊、BNB Chain 与 Base 四条链上的资产。

受影响用户须在 2026 年 6 月 4 日 前完成申请，任何未认领的资金将在截止日后转入协议保险基金。

值得注意的是，如 Yellow.com 的分析所指出的，$10M 赔偿池与实际损失金额 $10.8M 之间存在约 $80 万的缺口，协议方尚未对此公开说明资金来源。与此同时，THORChain 正与链上分析公司 Outrider Analytics 及执法机构合作，追踪并尝试取回被盗资产。

RUNE 价格受挫：市场的即时反应

攻击消息公布后，市场反应立竿见影。

RUNE 在事件发生后 24 小时内下跌约 12%—15%，代币市值从约 $2.09 亿骤降至约 $1.82 亿，单日市值蒸发超过 $2700 万。根据 CoinGecko 数据，交易量在恐慌性抛售与空头仓位涌入下大幅放量。

Traders Union 分析师 Viktoras Karapetjanc 指出，短期内 $0.420 是 RUNE 的关键支撑位，若跌破则可能触发进一步下行。他同时表示，若协议在安全修复与赔偿进展上能给出明确信号，风险回报比可能快速改善。

更广泛的市场影响也不容忽视。多个中市值 DeFi 代币在 THORChain 被攻击后出现同步回调，折射出市场对 GG20 架构可能存在系统性风险的担忧——若一个协议的 TSS 实现可被攻破，采用类似方案的其他协议是否面临同样风险？

THORChain 的安全历史：积重难返还是涅槃重生？

此次事件并非孤例。

2021 年 7 月，THORChain 连续遭受两次独立攻击，Crypto Times 对其历史安全记录的梳理指出，该协议及其领导层直接损失已累计接近 $2500 万。

2025 年初，THORChain 暂停旗下 ThorFi 借贷业务，应对流动性偿付危机，最终通过将违约债务转换为新型权益代币完成约 $2 亿的债务重组。同年 9 月，创始人 John-Paul Thorbjornsen 的个人钱包遭到入侵，损失约 $130 万，ZachXBT 随后将该事件与疑似朝鲜黑客组织的活动关联。

这一系列事件已引发社区的深层质疑：THORChain 在面对自身协议资金面临风险时迅速动用了紧急暂停能力，但此前在 Lazarus 组织通过其通道转移 Bybit 被盗资金时，协议却以"抗审查"为由拒绝干预——这种双重标准正在成为社区辩论的核心议题。

2026 年 DeFi 安全格局：一个更大的危机

THORChain 的遭遇是 2026 年 DeFi 安全危机的一个缩影。

根据 The Market Periodical 汇总的行业数据，2026 年 4 月单月加密安全损失已达 6.35 亿美元，创 2025 年 2 月 Bybit 被盗 15 亿美元以来的单月最高。2026 年至今，行业黑客总损失已超过 $8 亿美元。

跨链基础设施仍是重灾区。Bybit、KelpDAO、Drift 和 THORChain 的相继被攻击，揭示出一个共同结构性弱点：跨链协议支持的链越多，每一条链的密码学实现都可能成为潜在入口。THORChain 目前支持超过 10 条公链，其 Bifrost 连接器在为每条链提供原生互操作能力的同时，也让整体攻击面随之扩大。

美国财政部在 Drift $2.8 亿美元被盗事件后，已宣布将向加密行业扩大网络威胁情报共享范围，这标志着监管层对 DeFi 安全治理的关注正在从被动应对转向主动介入。

投资者应该怎么做？实用安全建议

面对持续升温的 DeFi 安全风险，以下几点值得每一位投资者认真审视：

审查协议的安全审计历史 — 不要只看协议是否经过审计，更要看审计机构的信誉、审计频率，以及协议在此前安全事件后的修复与披露质量。

撤销闲置授权 — 任何与 THORChain 路由器、集成钱包或流动性池存在连接的地址，都建议在网络暂停期间检查并撤销不必要的合约授权。

警惕二次钓鱼攻击 — 重大安全事件后，假冒"官方赔偿"或"资产恢复"的骗局几乎无一例外地随之出现。只信任官方渠道，不点击陌生链接。

分散资产分布 — 任何单一跨链协议都无法提供绝对安全保障。在 MEXC 等经过严格安全审查的中心化交易所配置部分资产，是对冲 DeFi 协议层风险的有效策略之一。

理解底层密码学风险 — 如果你持有依赖 GG20 或类似 MPC/TSS 方案的跨链协议代币，有必要了解验证节点的审核流程与硬件隔离措施，而不是仅仅关注 TVL 与收益率。

MEXC Crypto Pulse 研究团队独家观点

此次 THORChain 事件在技术层面的破坏性远超单纯的资金损失数字。

GG20 漏洞的核心是一个令人不安的逻辑：攻击者无需一次性突破系统，而是通过长期潜伏于节点网络，在正常的密钥生成流程中逐轮积累密钥分片，直到拼出足够的信息量完成伪造签名——这种攻击路径天然规避了大多数基于异常交易量或频率的监控模型。

从更宏观的视角来看，我们认为有三点值得特别关注：

第一，验证节点准入机制是跨链协议的真正软肋。 相比密码学算法本身的缺陷，节点入网审核的宽松度更容易被忽视。THORChain 采用了"bonding + 排队入网"的机制，但此次攻击表明，单纯依靠经济激励约束节点行为存在明显上限，尤其面对具备耐心和资源的攻击者。

第二，跨链协议的"抗审查"立场与安全治理之间的张力将持续加剧。 THORChain 在 Bybit 资金清洗事件中维持的中立立场，为此次攻击提供了额外的道德复杂性——协议既是受害者，也因其设计哲学而成为行业批评的靶心。这种双重身份将影响未来的社区治理方向和机构用户的信任决策。

第三，GG20 的潜在系统性影响尚未充分计入市场价格。 目前市场普遍将此次事件视为 THORChain 的孤立事件，但 Ledger CTO 的警示表明，采用类似 MPC/TSS 架构的其他协议同样面临理论风险。若后续出现第二起 GG20 相关漏洞攻击，将迅速扩大市场对整个跨链桥赛道的恐慌传导范围。

对于 RUNE 持仓者而言，短期内 $0.42 支撑位的有效性取决于赔偿进展与补丁审计时间线。若 THORChain 能在 30 天内完成独立安全审计并重新开放网络，该代币的长期基本面仍具备支撑逻辑；但若审计周期拖延或赔偿缺口问题持续悬而未决，则不排除进一步回调的可能性。

常见问题（FAQ）

Q1：THORChain 被盗事件中，普通用户的资产安全吗？

根据 THORChain 官方声明，此次攻击仅影响协议自有资金（protocol-owned funds），用户通过协议完成的跨链兑换交易中的个人资产未受直接损失。但赔偿门户所列的 12,847 个受影响钱包意味着部分用户在此次事件中存在间接风险敞口。建议用户通过官方渠道核查自己的钱包是否在赔偿名单内。

Q2：此次攻击的技术原因是什么？

初步调查指向 THORChain 的 GG20 门限签名方案（TSS）实现存在漏洞。攻击者通过恶意节点在密钥生成过程中逐步泄露金库密钥分片，最终在链下重建私钥，伪造合法签名完成非授权资金转移。

Q3：RUNE 代币还值得持有吗？

这取决于协议在安全修复与社区信任重建方面的后续表现。短期内 RUNE 面临较大下行压力，$0.42 为关键支撑位。若独立安全审计顺利完成且赔偿进展透明，长期逻辑可能重新获得市场认可。任何投资决策都应结合个人风险偏好，本文不构成投资建议。

Q4：受影响用户如何申请赔偿？

THORChain 已于 5 月 16 日开放赔偿申请门户，覆盖比特币、以太坊、BNB Chain 和 Base 四条链上受影响的 12,847 个钱包。用户须在 2026 年 6 月 4 日 前完成申请，逾期未申请的资金将划入协议保险基金。请务必通过 THORChain 官方渠道进入申请页面，避免点击任何第三方链接。

Q5：THORChain 上的 RUNE 可以在哪些平台交易？

RUNE 在 MEXC 等主流加密货币交易所均有上线，投资者可在平台上查看实时行情、交易深度与最新市场动态。

Q6：2026 年 DeFi 安全形势整体如何？

根据行业统计数据，2026 年至今加密市场因黑客攻击累计损失已超 $8 亿，其中仅 4 月单月损失就达 $6.35 亿，创 2025 年 2 月以来单月新高。跨链协议、MPC/TSS 架构与 DeFi 借贷平台是主要攻击目标。面对持续升温的安全风险，在合规中心化交易所配置资产是降低协议层风险的有效手段之一。