THORChain admite hackeo tras pausa de emergencia
El protocolo descentralizado THORChain sufrió un ataque el 15 de mayo que resultó en pérdidas estimadas en más de 10 millones de dólares, según la alerta emitida por el investigador on-chain ZachXBT. El exploit comprometió las bóvedas del protocolo en varias cadenas, incluyendo Bitcoin, Ethereum, BNB Chain y Base, lo que obligó al equipo a detener las operaciones de forma inédita.
Esta es la primera vez que THORChain interrumpe sus operaciones por un ataque directo. El protocolo, conocido por procesar millones de dólares en swaps cross-chain, congeló todas las cadenas conectadas y detuvo el proceso de firmas durante aproximadamente 12 horas y 42 minutos.
Evidencia y Reacción Inmediata
ZachXBT identificó dos direcciones principales vinculadas al robo:
- En Ethereum, la dirección
0xd477b69551f49C0519F9B18c55030676138890Bdacumula 3.174 ethers (ETH), equivalentes a unos 7,16 millones de dólares. - En Bitcoin, la dirección
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37recibió 36,85 BTC (aproximadamente 3,3 millones de dólares), que luego fueron redistribuidos a otras direcciones.
Este incidente ocurre cuando THORChain está bajo escrutinio por su rol en la industria. Un informe de Arkham identificó al protocolo como la principal herramienta de lavado del Grupo Lazarus, procesando 1.200 millones de dólares del hackeo a Bybit y fondos del ataque a KelpDAO. Anteriormente, THORChain se había negado a pausar transacciones de terceros, pero adoptó medidas drásticas al ser el objetivo.
Análisis Técnico: Vulnerabilidad GG20 TSS
En un comunicado oficial del 16 de mayo, el equipo de THORChain confirmó que el ataque no afectó directamente a los balances de los usuarios, sino a las bóvedas donde se custodian activos externos, controladas colectivamente por los nodos validadores.
La investigación preliminar, realizada junto a los grupos de seguridad THORSec y Outrider Analytics, apunta a una vulnerabilidad en la implementación GG20 TSS (Threshold Signature Scheme). Este esquema criptográfico permite a múltiples nodos firmar transacciones de forma conjunta sin que ninguno posea la clave completa.
Según el comunicado, el atacante logró filtrar gradualmente el material clave de los nodos participantes. Al acumular suficiente información, reconstruyó la clave privada completa de la bóveda. Las transacciones de salida resultantes eran criptográficamente válidas, lo que impidió que los mecanismos de detección automática las bloquearan.
El protocolo ha vinculado el ataque a un nodo recién incorporado a la red, identificado como thor16ucjv3v695mq283me7esh0wdhajjalengcn84q, tras rastrear conexiones entre direcciones de compra de RUNE y las direcciones receptoras de los fondos robados.
Aclaraciones y Advertencias a la Comunidad
El equipo de THORChain enfatizó que «no se perdieron fondos de usuarios». Las pérdidas recaen sobre el tesoro del protocolo.
Asimismo, desmintieron la existencia de programas de reembolsos, airdrops o compensaciones. El protocolo advirtió sobre la circulación de cuentas falsas que ofrecen estos beneficios, instando a los usuarios a confiar únicamente en los canales oficiales.
Al cierre de esta redacción, la pausa global había expirado y la interfaz web aparece activa, aunque las operaciones sensibles siguen oficialmente detenidas mientras se completa la revisión de seguridad. El precio del token nativo RUNE cayó un 18% en las últimas 24 horas.
