THORChain (RUNE) interrompeu negociações e assinaturas na sexta-feira depois que ataques drenaram cerca de US$ 10,8 milhões de um de seus cofres Asgard, com o CTO da Ledger apontando possíveis fragilidades em MPC.
Cofre Asgard drenado em quatro blockchains
O protocolo de liquidez cross-chain pausou as operações de negociação e de assinatura após o investigador on-chain ZachXBT sinalizar saídas suspeitas envolvendo cofres em Bitcoin (BTC), Ethereum (ETH), BNB Chain e Base.
Em comunicado, a THORChain informou que a rede detectou automaticamente atividade anômala e suspendeu a assinatura para bloquear novas transferências de saída.
Um dos seis cofres Asgard pareceu comprometido, o churn foi pausado e os operadores de nós foram orientados a revisar o gerenciamento de chaves e a segurança operacional.
O módulo de governança Mimir do protocolo ativou as paradas de negociação e assinatura, com a pausa durando cerca de 12 horas a partir do bloco 26190429.
Carteiras ligadas ao invasor mantêm cerca de 3.443 ETH, 36,85 BTC e 96,6 BNB, além de USDT, USDC, WBTC, AAVE e LINK. O RUNE caiu cerca de 12% com a notícia, aproximando-se de US$ 0,50. A THORChain afirmou que os indícios iniciais sugerem que fundos de usuários não foram diretamente afetados.
Também leia: Gemini Space Station Hit By Multiple Securities Fraud Claims After IPO
CTO da Ledger aponta risco em MPC
Charles Guillemet, diretor de tecnologia da fabricante de hardware wallets Ledger, sugeriu que o incidente pode envolver fragilidades na infraestrutura de esquemas de assinatura limiar (threshold signature scheme).
Citando declarações do colaborador da THORChain JP Thor, Guillemet disse que a violação pode ser um exploit de MPC envolvendo GG20, um protocolo de assinatura limiar usado em alguns sistemas de carteira de computação multipartidária.
Ele observou que protocolos anteriores GG18 e GG20 já enfrentaram vulnerabilidades críticas, incluindo CVE-2023-33241 e TSSHOCK.
Guillemet alertou que os avanços em descoberta de vulnerabilidades assistida por IA podem estar reduzindo a barreira para comprometer infraestruturas de validadores antes consideradas difíceis de atacar.
Um caminho de ataque teórico, segundo ele, poderia envolver comprometer um validador, esperar que ele entre em um cofre ativo, explorar provas malformadas durante a assinatura e reconstruir chaves do cofre off-line. Ele ressaltou que a causa raiz ainda não está clara e que os investigadores não confirmaram se houve exploração de uma falha conhecida no GG20 ou de uma nova vulnerabilidade.
Histórico recente de segurança da THORChain
Os cofres da THORChain dependem de TSS, um sistema criptográfico que permite que múltiplos nós produzam assinaturas em conjunto sem reconstruir a chave privada completa em um único lugar. A arquitetura há muito é vista como um ponto forte do DeFi cross-chain, mas agora atraiu um novo escrutínio.
O protocolo enfrentou vários incidentes de grande repercussão no último ano. Em fevereiro de 2025, os atacantes por trás do hack de US$ 1,4 bilhão da Bybit rotearam cerca de US$ 1,2 bilhão pela THORChain para converter ativos em Bitcoin.
O exploit da KelpDAO também usou o protocolo THORChain para mover cerca de US$ 80 milhões em Ether, enquanto o cofundador da THORChain, JP Thorbjornsen, perdeu US$ 1,35 milhão em um golpe de deepfake via Zoom em setembro de 2025.
Leia a seguir: Southeast Asia Blockchain Week Brings Ripple, Avalanche, Solana Foundation, And K-Pop To Bangkok