THORChain (RUNE) interrompeu negociações e assinaturas na sexta-feira depois que atacantes drenaram cerca de US$ 10,8 milhões de um de seus cofres Asgard, com o CTO da Ledger apontando possíveis fragilidades em MPC.
Cofre Asgard drenado em quatro redes
O protocolo de liquidez cross-chain pausou operações de negociação e de assinatura depois que o investigador on-chain ZachXBT sinalizou saídas suspeitas direcionadas a cofres em Bitcoin (BTC), Ethereum (ETH), BNB Chain e Base.
Em comunicado, a THORChain afirmou que a rede detectou automaticamente a atividade anormal e suspendeu as assinaturas para bloquear novas transferências de saída.
Um de seis cofres Asgard pareceu comprometido, o churn foi pausado e os operadores de nó foram orientados a revisar a gestão de chaves e a segurança operacional.
O módulo de governança Mimir do protocolo ativou as pausas de negociação e assinatura, com a interrupção durando cerca de 12 horas a partir do bloco 26190429.
Carteiras ligadas ao atacante detêm cerca de 3.443 ETH, 36,85 BTC e 96,6 BNB, além de USDT, USDC, WBTC, AAVE e LINK. O RUNE caiu cerca de 12% com a notícia, aproximando-se de US$ 0,50. A THORChain disse que os primeiros indícios sugerem que fundos de usuários não foram diretamente afetados.
Also Read: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
CTO da Ledger alerta para risco em MPC
Charles Guillemet, diretor de tecnologia da fabricante de hardware wallets Ledger, sugeriu que o incidente pode envolver fragilidades na infraestrutura de esquemas de assinaturas por limiar (threshold signature scheme).
Citando declarações do colaborador da THORChain JP Thor, Guillemet disse que a violação pode ser um exploit de MPC envolvendo GG20, um protocolo de assinatura por limiar usado em alguns sistemas de carteiras de computação multipartidária.
Ele observou que protocolos anteriores GG18 e GG20 já enfrentaram vulnerabilidades críticas, incluindo CVE-2023-33241 e TSSHOCK.
Guillemet alertou que avanços em descoberta de vulnerabilidades assistida por IA podem estar reduzindo a barreira para comprometer infraestrutura de validadores antes considerada difícil de atacar.
Um caminho teórico de ataque, ele disse, poderia envolver comprometer um validador, aguardar que ele entre em um cofre ativo, explorar provas malformadas durante o processo de assinatura e reconstruir as chaves do cofre offline. Ele enfatizou que a causa raiz continua incerta e que os investigadores ainda não confirmaram se o incidente envolveu uma falha GG20 conhecida ou uma nova vulnerabilidade.
Histórico recente de segurança da THORChain
Os cofres da THORChain dependem de TSS, um sistema criptográfico que permite que vários nós produzam assinaturas de forma conjunta sem reconstruir a chave privada completa em um único local. A arquitetura há muito é vista como um ponto forte no DeFi cross-chain, mas agora passou a receber nova atenção crítica.
O protocolo enfrentou vários incidentes de alto perfil no último ano. Em fevereiro de 2025, os atacantes por trás do hack de US$ 1,4 bilhão na Bybit encaminharam cerca de US$ 1,2 bilhão pela THORChain para converter ativos em Bitcoin.
O exploit da KelpDAO também usou o protocolo THORChain para mover cerca de US$ 80 milhões em Ether, enquanto o cofundador da THORChain, JP Thorbjornsen, perdeu US$ 1,35 milhão em um golpe de deepfake via Zoom em setembro de 2025.
Read Next: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok