THORChain (RUNE) interrompeu negociações e assinaturas na sexta-feira depois que invasores drenaram cerca de US$ 10,8 milhões de um de seus cofres Asgard, com o CTO da Ledger apontando possíveis fragilidades em MPC.
Cofre Asgard drenado em quatro redes
O protocolo de liquidez cross-chain pausou negociações e operações de assinatura depois que o investigador on-chain ZachXBT sinalizou saídas suspeitas direcionadas a cofres em Bitcoin (BTC), Ethereum (ETH), BNB Chain e Base.
Em comunicado, a THORChain afirmou que a rede detectou automaticamente atividade anormal e suspendeu as assinaturas para bloquear novas transferências de saída.
Um de seis cofres Asgard pareceu comprometido, o churn foi pausado e os operadores de nós foram orientados a revisar gerenciamento de chaves e segurança operacional.
O módulo de governança Mimir do protocolo ativou as pausas de negociação e assinatura, com a interrupção durando cerca de 12 horas a partir do bloco 26190429.
Carteiras ligadas ao invasor detêm cerca de 3.443 ETH, 36,85 BTC e 96,6 BNB, além de USDT, USDC, WBTC, AAVE e LINK. O RUNE caiu cerca de 12% com a notícia, recuando para perto de US$ 0,50. A THORChain disse que indicações iniciais sugerem que fundos de usuários não foram diretamente afetados.
Veja também: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
CTO da Ledger aponta risco em MPC
Charles Guillemet, diretor de tecnologia da fabricante de carteiras físicas Ledger, sugeriu que o incidente pode envolver fragilidades na infraestrutura de esquemas de assinatura limiar (threshold signature scheme).
Citando comentários do colaborador da THORChain JP Thor, Guillemet disse que a violação pode ser um exploit de MPC envolvendo GG20, um protocolo de assinaturas limiares usado em alguns sistemas de carteira com computação multipartidária.
Ele observou que protocolos anteriores GG18 e GG20 já enfrentaram vulnerabilidades críticas, incluindo CVE-2023-33241 e TSSHOCK.
Guillemet alertou que avanços em descoberta de vulnerabilidades assistida por IA podem estar reduzindo a barreira para comprometer infraestruturas de validadores antes consideradas difíceis de atacar.
Um possível caminho teórico de ataque, disse ele, poderia envolver comprometer um validador, aguardar sua entrada em um cofre ativo, explorar provas malformadas durante a assinatura e reconstruir chaves do cofre off-line. Ele ressaltou que a causa raiz permanece incerta e os investigadores não confirmaram se um problema conhecido do GG20 ou uma nova fragilidade foi envolvida.
Histórico recente de segurança da THORChain
Os cofres da THORChain dependem de TSS, um sistema criptográfico que permite que vários nós produzam assinaturas em conjunto sem reconstruir a chave privada completa em um único local. A arquitetura há muito é vista como um ponto forte do DeFi cross-chain, mas agora vem sendo alvo de novo escrutínio.
O protocolo enfrentou vários incidentes de alto perfil no último ano. Em fevereiro de 2025, os invasores por trás do hack de US$ 1,4 bilhão da Bybit encaminharam cerca de US$ 1,2 bilhão pela THORChain para converter ativos em Bitcoin.
O exploit da KelpDAO também usou o protocolo THORChain para mover cerca de US$ 80 milhões em Ether, enquanto o cofundador da THORChain, JP Thorbjornsen, perdeu US$ 1,35 milhão em um golpe de deepfake via Zoom em setembro de 2025.
Leia a seguir: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok