THORChain (RUNE) ha bloccato trading e firma delle transazioni venerdì dopo che attaccanti hanno sottratto circa 10,8 milioni di dollari da uno dei suoi vault Asgard, con il CTO di Ledger che ha segnalato possibili debolezze MPC.
Vault Asgard svuotato su quattro chain
Il protocollo di liquidità cross-chain ha messo in pausa le operazioni di trading e di firma dopo che l’investigatore on-chain ZachXBT ha segnalato flussi in uscita sospetti diretti a vault su Bitcoin (BTC), Ethereum (ETH), BNB Chain e Base.
In una dichiarazione, THORChain ha affermato che la rete ha rilevato automaticamente attività anomale e ha sospeso la firma per bloccare ulteriori trasferimenti in uscita.
Uno dei sei vault Asgard è apparso compromesso, il churn è stato messo in pausa e ai node operator è stato chiesto di rivedere gestione delle chiavi e sicurezza operativa.
Il modulo di governance Mimir del protocollo ha attivato gli stop a trading e firma, con la pausa durata circa 12 ore a partire dal blocco 26190429.
I wallet collegati all’attaccante detengono circa 3.443 ETH, 36,85 BTC e 96,6 BNB, oltre a USDT, USDC, WBTC, AAVE e LINK. RUNE è sceso di circa il 12% sulla notizia, avvicinandosi a 0,50 dollari. THORChain ha affermato che le prime indicazioni suggeriscono che i fondi degli utenti non siano stati colpiti direttamente.
Da leggere anche: Gemini Space Station colpita da molteplici accuse di frode sui titoli dopo l’IPO
Il CTO di Ledger segnala il rischio MPC
Charles Guillemet, chief technology officer del produttore di hardware wallet Ledger, ha suggerito che l’incidente potrebbe coinvolgere debolezze nell’infrastruttura del threshold signature scheme.
Citando le osservazioni del contributor di THORChain JP Thor, Guillemet ha dichiarato che la violazione potrebbe essere un exploit MPC che coinvolge GG20, un protocollo di firme a soglia usato in alcuni sistemi di wallet multi‑party computation.
Ha osservato che i precedenti protocolli GG18 e GG20 hanno affrontato vulnerabilità critiche, tra cui CVE-2023-33241 e TSSHOCK.
Guillemet ha avvertito che i progressi nella scoperta di vulnerabilità assistita dall’AI potrebbero abbassare la soglia per compromettere infrastrutture di validatori un tempo considerate difficili da attaccare.
Un possibile percorso di attacco, ha spiegato, potrebbe includere il compromesso di un validatore, l’attesa che entri in un vault attivo, lo sfruttamento di prove malformate durante la firma e la ricostruzione offline delle chiavi del vault. Ha precisato che la causa radice resta poco chiara e gli investigatori non hanno confermato se sia coinvolta una falla GG20 nota o una nuova debolezza.
Il recente record di sicurezza di THORChain
I vault di THORChain si basano su TSS, un sistema crittografico che permette a più nodi di produrre congiuntamente firme senza ricostruire la chiave privata completa in un unico luogo. L’architettura è da tempo considerata un punto di forza della DeFi cross‑chain, ma ora è oggetto di nuovo scrutinio.
Il protocollo ha superato diversi incidenti di alto profilo nell’ultimo anno. Nel febbraio 2025, gli attaccanti dietro il furto da 1,4 miliardi di dollari su Bybit hanno instradato quasi 1,2 miliardi attraverso THORChain per convertire asset in Bitcoin.
Anche l’exploiter di KelpDAO ha usato il protocollo THORChain per spostare circa 80 milioni di dollari in Ether, mentre il co‑fondatore di THORChain JP Thorbjornsen ha perso 1,35 milioni di dollari in una truffa con deepfake su Zoom nel settembre 2025.
Da leggere dopo: La Southeast Asia Blockchain Week porta Ripple, Avalanche, Solana Foundation e K‑Pop a Bangkok