THORChain (RUNE) detuvo el trading y la firma de transacciones el viernes después de que atacantes drenaran aproximadamente $10,8 millones de uno de sus vaults Asgard, y el CTO de Ledger señalara posibles debilidades de MPC.
Vault Asgard drenado en cuatro cadenas
El protocolo de liquidez cross-chain pausó las operaciones de trading y firma después de que el investigador on‑chain ZachXBT detectara salidas sospechosas dirigidas a vaults en Bitcoin (BTC), Ethereum (ETH), BNB Chain y Base.
En un comunicado, THORChain afirmó que la red detectó automáticamente actividad anómala y suspendió la firma para bloquear nuevas transferencias salientes.
Uno de los seis vaults Asgard parecía comprometido, se pausó el churn y se pidió a los operadores de nodos que revisaran la gestión de claves y la seguridad operativa.
El módulo de gobernanza Mimir del protocolo activó las pausas de trading y firma, con la suspensión durando aproximadamente 12 horas desde el bloque 26190429.
Las wallets vinculadas al atacante tienen alrededor de 3.443 ETH, 36,85 BTC y 96,6 BNB, además de USDT, USDC, WBTC, AAVE y LINK. RUNE cayó alrededor de un 12% tras la noticia, acercándose a los $0,50. THORChain señaló que los indicios iniciales sugieren que los fondos de usuarios no se vieron afectados directamente.
También lee: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
El CTO de Ledger señala riesgo de MPC
Charles Guillemet, director de tecnología del fabricante de hardware wallets Ledger, sugirió que el incidente podría implicar debilidades en la infraestructura de esquemas de firma umbral.
Citando comentarios del colaborador de THORChain JP Thor, Guillemet dijo que la brecha podría ser un exploit de MPC que implique GG20, un protocolo de firma umbral utilizado en algunos sistemas de wallets de computación multipartita.
Señaló que los protocolos GG18 y GG20 anteriores han enfrentado vulnerabilidades críticas, incluidas CVE-2023-33241 y TSSHOCK.
Guillemet advirtió que los avances en el descubrimiento de vulnerabilidades asistido por IA pueden estar bajando la barrera para comprometer infraestructuras de validadores que antes se consideraban difíciles de atacar.
Según explicó, una ruta de ataque teórica podría consistir en comprometer un validador, esperar a que se una a un vault activo, explotar pruebas mal formadas durante la firma y reconstruir las claves del vault sin conexión. Advirtió que la causa raíz sigue sin estar clara y que los investigadores no han confirmado si se trató de una falla conocida de GG20 o de una nueva debilidad.
Historial de seguridad reciente de THORChain
Los vaults de THORChain dependen de TSS, un sistema criptográfico que permite a múltiples nodos producir firmas de manera conjunta sin reconstruir la clave privada completa en un solo lugar. Esta arquitectura se ha considerado durante mucho tiempo una fortaleza del DeFi cross‑chain, pero ahora ha atraído un nuevo escrutinio.
El protocolo ha soportado varios incidentes de alto perfil en el último año. En febrero de 2025, los atacantes detrás del hack de $1,4 mil millones a Bybit canalizaron cerca de $1,2 mil millones a través de THORChain para convertir activos en Bitcoin.
El exploiter de KelpDAO también utilizó el protocolo THORChain para mover alrededor de $80 millones en Ether, mientras que el cofundador de THORChain, JP Thorbjornsen, perdió $1,35 millones en una estafa de Zoom con deepfake en septiembre de 2025.
Lee a continuación: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok