THORChain lista para reiniciar tras hackeo de 10.7M

El protocolo descentralizado de intercambio entre cadenas THORChain ha iniciado el proceso para reanudar sus operaciones tras permanecer detenido desde el 15 de mayo. El equipo de desarrollo ha sometido a votación de los validadores la actualización v3.19.0, una propuesta técnica que contiene parches de seguridad críticos y un plan estructurado de recuperación en 11 pasos tras un incidente que resultó en la pérdida de 10,7 millones de dólares.

Detalles del exploit y mecanismo de defensa

El ataque se originó cuando un actor malicioso se infiltró en la red como nodo validador legítimo. Durante dos días, participó en operaciones de firma rutinarias utilizando el esquema criptográfico GG20. Este acceso permitió al atacante reconstruir la clave privada de una de las seis bóvedas Asgard y ejecutar transacciones de salida no autorizadas, afectando a activos de Bitcoin, Ethereum, BNB Chain y Base. Aunque se drenó aproximadamente el 20% de los fondos de las bóvedas activas, THORChain ha afirmado que los fondos de los usuarios permanecen protegidos.

El plan de recuperación en 11 pasos

La actualización v3.19.0 implementa la propuesta ADR-028, cuyo núcleo es el Compromised Vault mimir. Este mecanismo permite a la red poner en cuarentena las bóvedas comprometidas para evitar que sigan procesando transacciones. Además, se introduce un protocolo temporal llamado keyverify, que exige una verificación de claves compartidas nodo por nodo antes de reanudar la firma.

El plan de recuperación secuencial incluye los siguientes puntos clave:

  1. Aprobación y votación de la v3.19.0.
  2. Actualización de la red.
  3. Activación de la cuarentena de bóvedas.
  4. Validación de la migración ADR-028.
  5. Verificación de los keyshares de cada nodo.
  6. Reanudación de la firma.
  7. Inicio del churn (rotación de nodos).
  8. Espera de la finalización del proceso.
  9. Desbloqueo de activos asegurados, acciones de liquidez y trading.

Antecedentes de seguridad y contexto forense

El incidente de mayo se produce en un contexto de críticas previas sobre la gestión de vulnerabilidades. La firma V12 Security reveló que a finales de abril identificó un fallo crítico distinto, el cual fue parchado por THORChain sin comunicación pública ni pago de recompensa, alegando que su programa de bug bounty estaba retirado. QED Audit reportó una situación similar en enero con fallos que podrían haber permitido el robo de más de 40 millones de dólares.

Por otro lado, la firma TRM Labs señaló que THORChain ha sido utilizada históricamente para lavar fondos de grandes robos, como el hackeo de Bybit (1.500 millones de dólares) y el de KelpDAO (300 millones de dólares), debido a su capacidad para dificultar el rastreo forense mediante conversiones nativas entre cadenas.

Actualmente, la librería criptográfica central, tss-lib, se encuentra en código cerrado para permitir una auditoría interna exhaustiva. El reinicio de la red principal está condicionado a la finalización exitosa de estas pruebas en la red de prueba, sin que exista una fecha confirmada para el restablecimiento del servicio.

Comparte esta noticia, elige tu plataforma!

Leave A Comment