THORChain (RUNE) detuvo el trading y la firma de transacciones el viernes después de que atacantes drenaran aproximadamente $10,8 millones de una de sus bóvedas Asgard, y el CTO de Ledger señalara posibles debilidades en MPC.
Bóveda Asgard drenada en cuatro cadenas
El protocolo de liquidez entre cadenas pausó las operaciones de trading y firma después de que el investigador on‑chain ZachXBT detectara salidas sospechosas dirigidas a bóvedas en Bitcoin (BTC), Ethereum (ETH), BNB Chain y Base.
En un comunicado, THORChain afirmó que la red detectó automáticamente la actividad anómala y suspendió la firma para bloquear nuevas transferencias salientes.
Una de las seis bóvedas Asgard parecía comprometida, se detuvo el churn y se pidió a los operadores de nodos que revisaran la gestión de claves y la seguridad operativa.
El módulo de gobernanza Mimir del protocolo activó las pausas de trading y firma, con la interrupción extendida durante aproximadamente 12 horas a partir del bloque 26190429.
Las billeteras vinculadas al atacante contienen alrededor de 3.443 ETH, 36,85 BTC y 96,6 BNB, junto con USDT, USDC, WBTC, AAVE y LINK. RUNE cayó alrededor de un 12% tras la noticia, acercándose a los $0,50. THORChain indicó que las primeras señales sugieren que los fondos de los usuarios no se vieron afectados directamente.
También lee: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
El CTO de Ledger señala riesgo en MPC
Charles Guillemet, director de tecnología del fabricante de hardware wallets Ledger, sugirió que el incidente podría implicar debilidades en la infraestructura de esquemas de firma umbral.
Citando comentarios del colaborador de THORChain JP Thor, Guillemet dijo que la brecha podría ser un exploit de MPC que involucra GG20, un protocolo de firmas umbral utilizado en algunos sistemas de monederos de computación multipartita.
Señaló que los protocolos anteriores GG18 y GG20 han enfrentado vulnerabilidades críticas, incluidas CVE-2023-33241 y TSSHOCK.
Guillemet advirtió que los avances en el descubrimiento de vulnerabilidades asistido por IA pueden estar reduciendo la barrera para comprometer infraestructuras de validadores antes consideradas difíciles de atacar.
Un posible vector teórico de ataque, dijo, podría implicar comprometer un validador, esperar a que se una a una bóveda activa, explotar pruebas mal formadas durante la firma y reconstruir las claves de la bóveda fuera de línea. Advirtió que la causa raíz sigue sin estar clara y que los investigadores no han confirmado si estuvo implicada una falla conocida de GG20 o una nueva debilidad.
Historial de seguridad reciente de THORChain
Las bóvedas de THORChain dependen de TSS, un sistema criptográfico que permite a múltiples nodos producir conjuntamente firmas sin reconstruir la clave privada completa en un solo lugar. La arquitectura ha sido considerada durante mucho tiempo una fortaleza del DeFi entre cadenas, pero ahora está bajo un nuevo escrutinio.
El protocolo ha soportado varios incidentes de alto perfil durante el último año. En febrero de 2025, los atacantes detrás del hackeo de $1.400 millones a Bybit canalizaron cerca de $1.200 millones a través de THORChain para convertir activos en Bitcoin.
El explotador de KelpDAO también utilizó el protocolo THORChain para mover alrededor de $80 millones en Ether, mientras que el cofundador de THORChain, JP Thorbjornsen, perdió $1,35 millones en una estafa de Zoom con deepfake en septiembre de 2025.
Lee a continuación: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok