-
Un nodo malicioso habría filtrado claves criptográficas para acceder a las bóvedas de THORChain.
-
RUNE, el token nativo de THORChain, cayó un 18% en las últimas 24 horas.
El equipo del protocolo descentralizado THORChain indicó hoy 16 de mayo que «no se perdieron fondos de usuarios» tras el hackeo sufrido ayer, en el que la plataforma sufrió salidas por más de USD 10 millones. Además, negaron la existencia de un programa de reembolsos, airdrops y compensaciones en curso, y que la investigación continúa junto a analistas de los grupos THORSec y Outrider Analytics.
Desde THORChain advirtieron sobre la circulación de cuentas falsas que ofrecen reembolsos, lanzamientos de tokens gratuitos y programas de compensación inexistentes. «Cualquier cuenta que afirme lo contrario está suplantando a THORChain o difundiendo desinformación», señala el comunicado, que recomienda consultar exclusivamente los canales oficiales del protocolo.
ZachXBT, el investigador de seguridad on chain que alertó sobre el exploit, estimó pérdidas superiores a USD 10 millones, una cifra que THORChain no ha confirmado ni desmentido oficialmente.
¿Cómo operó el ataque, según la investigación preliminar?
Conforme a un primer comunicado, emitido el 15 de mayo, horas después del hackeo, el ataque oFperó a nivel interno del protocolo según el equipo de la plataforma descentralizada. El exploit comprometió las bóvedas donde THORChain custodia activos externos (bitcoin, ether y otros criptoactivos), controladas colectivamente por sus nodos validadores, sin afectar directamente los balances de los usuarios.
THORChain identificó, como teoría principal del ataque, una vulnerabilidad en la implementación GG20 TSS, un esquema criptográfico que permite a múltiples nodos firmar transacciones de forma conjunta sin que ninguno posea la clave completa. En este protocolo, ese mecanismo autoriza los movimientos de activos entre cadenas y cuando los nodos alcanzan el umbral de firmas requerido, la bóveda ejecuta la transacción.
De acuerdo con el comunicado, la vulnerabilidad habría permitido que el material clave de los nodos participantes se filtrara de forma gradual. Al acumular suficiente información filtrada, el atacante reconstruyó la clave privada completa de la bóveda y ejecutó transacciones de salida no autorizadas. Desde la perspectiva del protocolo, esas transacciones eran criptográficamente válidas (porque la clave usada para firmarlas era la correcta), lo que impidió que los mecanismos de detección automática las bloquearan.
El comunicado vincula el ataque a un nodo recién incorporado a la red, identificado por la dirección thor16ucjv3v695mq283me7esh0wdhajjalengcn84q, mediante conexiones entre las direcciones de Ethereum usadas para adquirir RUNE (el token nativo del protocolo) y las que recibieron los fondos sustraídos. Al momento de publicar este artículo, el precio de RUNE cayó un 18% en las últimas 24 horas.
La pausa global extendida por los nodos el 15 de mayo expiró en las primeras horas del 16 de mayo, conforme a los mensajes publicados en el canal oficial de Telegram. Sin embargo, el estado operativo de la plataforma no está confirmado: los comunicados posteriores al hackeo no anunciaron una reapertura formal de las operaciones, aunque la interfaz web de THORChain aparece activa al momento de la publicación. El intercambio y las operaciones sensibles seguían oficialmente detenidas según el último comunicado disponible.
