THORChain (RUNE) ha sospeso trading e firma delle transazioni venerdì dopo che gli attaccanti hanno sottratto circa 10,8 milioni di dollari da uno dei suoi vault Asgard, con il CTO di Ledger che ha segnalato possibili debolezze MPC.
Vault Asgard svuotato su quattro chain
Il protocollo di liquidità cross-chain ha messo in pausa le operazioni di trading e di firma dopo che l’investigatore on-chain ZachXBT ha segnalato flussi sospetti diretti a vault su Bitcoin (BTC), Ethereum (ETH), BNB Chain e Base.
In una dichiarazione, THORChain ha affermato che la rete ha rilevato automaticamente attività anomale e ha sospeso la firma per bloccare ulteriori trasferimenti in uscita.
Uno dei sei vault Asgard risultava compromesso, il churn è stato messo in pausa e agli operatori di nodo è stato chiesto di rivedere la gestione delle chiavi e la sicurezza operativa.
Il modulo di governance Mimir del protocollo ha attivato gli switch per fermare trading e firma, con la pausa in corso per circa 12 ore a partire dal blocco 26190429.
I wallet collegati all’attaccante detengono circa 3.443 ETH, 36,85 BTC e 96,6 BNB, insieme a USDT, USDC, WBTC, AAVE e LINK. RUNE è sceso di circa il 12% alla notizia, avvicinandosi a 0,50 dollari. THORChain ha dichiarato che le prime indicazioni suggeriscono che i fondi degli utenti non sono stati colpiti direttamente.
Da leggere anche: Gemini Space Station colpita da molteplici accuse di frode su titoli dopo la IPO
Il CTO di Ledger segnala il rischio MPC
Charles Guillemet, chief technology officer del produttore di hardware wallet Ledger, ha suggerito che l’incidente potrebbe coinvolgere debolezze nell’infrastruttura di threshold signature scheme.
Citando le osservazioni del contributor di THORChain JP Thor, Guillemet ha detto che la violazione potrebbe essere un exploit MPC che coinvolge GG20, un protocollo di firme threshold utilizzato in alcuni sistemi di wallet multi-party computation.
Ha osservato che i precedenti protocolli GG18 e GG20 hanno affrontato vulnerabilità critiche, tra cui CVE-2023-33241 e TSSHOCK.
Guillemet ha avvertito che i progressi nella scoperta di vulnerabilità assistita dall’IA potrebbero abbassare la soglia per compromettere infrastrutture di validatori ritenute in passato difficili da attaccare.
Un possibile percorso di attacco, ha spiegato, potrebbe consistere nel compromettere un validatore, attendere che entri in un vault attivo, sfruttare prove malformate durante la firma e ricostruire offline le chiavi del vault. Ha precisato che la causa radice resta poco chiara e gli investigatori non hanno confermato se sia coinvolta una falla GG20 nota o una nuova debolezza.
Il recente track record di sicurezza di THORChain
I vault di THORChain si basano su TSS, un sistema crittografico che consente a più nodi di produrre congiuntamente firme senza ricostruire l’intera chiave privata in un unico punto. L’architettura è da tempo considerata un punto di forza della DeFi cross-chain, ma ora è finita nuovamente sotto esame.
Il protocollo ha superato diversi incidenti di alto profilo nell’ultimo anno. A febbraio 2025, gli attaccanti dietro il furto da 1,4 miliardi di dollari su Bybit hanno instradato quasi 1,2 miliardi di dollari attraverso THORChain per convertire asset in Bitcoin.
Anche l’exploiter di KelpDAO ha usato il protocollo THORChain per spostare circa 80 milioni di dollari in Ether, mentre il cofondatore di THORChain JP Thorbjornsen ha perso 1,35 milioni di dollari in una truffa deepfake su Zoom nel settembre 2025.
Da leggere dopo: La Southeast Asia Blockchain Week porta Ripple, Avalanche, Solana Foundation e K-Pop a Bangkok