THORChain (RUNE) interrompeu negociações e assinaturas na sexta‑feira depois que agressores drenaram cerca de US$ 10,8 milhões de um de seus cofres Asgard, com o CTO da Ledger apontando possíveis fragilidades em MPC.
Cofre Asgard drenado em quatro redes
O protocolo de liquidez cross‑chain pausou as operações de negociação e assinatura depois que o investigador on‑chain ZachXBT sinalizou saídas suspeitas direcionadas a cofres em Bitcoin (BTC), Ethereum (ETH), BNB Chain e Base.
Em comunicado, a THORChain afirmou que a rede detectou automaticamente atividade anormal e suspendeu as assinaturas para bloquear novas transferências de saída.
Um de seis cofres Asgard pareceu comprometido, o churn foi pausado e os operadores de nós foram solicitados a revisar a gestão de chaves e a segurança operacional.
O módulo de governança Mimir do protocolo ativou as pausas de negociação e assinatura, com a interrupção durando cerca de 12 horas a partir do bloco 26190429.
Carteiras ligadas ao atacante detêm cerca de 3.443 ETH, 36,85 BTC e 96,6 BNB, além de USDT, USDC, WBTC, AAVE e LINK. O RUNE caiu cerca de 12% com a notícia, aproximando‑se de US$ 0,50. A THORChain disse que os primeiros indícios sugerem que fundos de usuários não foram diretamente afetados.
Também leia: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
CTO da Ledger aponta risco em MPC
Charles Guillemet, diretor de tecnologia da fabricante de carteiras hardware Ledger, sugeriu que o incidente pode envolver fragilidades na infraestrutura de schemes de assinaturas limiares (threshold signature scheme).
Citando declarações do colaborador da THORChain JP Thor, Guillemet disse que a violação pode ser um exploit de MPC envolvendo GG20, um protocolo de assinaturas limiares usado em alguns sistemas de carteiras de computação multipartidária.
Ele observou que protocolos anteriores GG18 e GG20 já enfrentaram vulnerabilidades críticas, incluindo CVE-2023-33241 e TSSHOCK.
Guillemet alertou que avanços na descoberta de vulnerabilidades assistida por IA podem estar reduzindo a barreira para comprometer infraestruturas de validadores antes consideradas difíceis de atacar.
Um caminho teórico de ataque, disse ele, poderia envolver comprometer um validador, aguardar que ele entre em um cofre ativo, explorar provas malformadas durante o processo de assinatura e reconstruir as chaves do cofre off‑line. Ele advertiu que a causa raiz ainda não está clara e os investigadores não confirmaram se houve uso de uma falha já conhecida do GG20 ou de uma nova vulnerabilidade.
Histórico recente de segurança da THORChain
Os cofres da THORChain dependem de TSS, um sistema criptográfico que permite que vários nós produzam assinaturas em conjunto sem reconstruir a chave privada completa em um único lugar. A arquitetura há muito é vista como um ponto forte do DeFi cross‑chain, mas agora está sob nova escrutínio.
O protocolo já enfrentou vários incidentes de alto perfil no último ano. Em fevereiro de 2025, os atacantes por trás do hack de US$ 1,4 bilhão à Bybit rotearam perto de US$ 1,2 bilhão pela THORChain para converter ativos em Bitcoin.
O exploit da KelpDAO também usou o protocolo THORChain para mover cerca de US$ 80 milhões em Ether, enquanto o cofundador da THORChain, JP Thorbjornsen, perdeu US$ 1,35 milhão em um golpe de deepfake via Zoom em setembro de 2025.
Leia a seguir: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok