Exploit de $10M en THORChain: cómo se vulneró una bóveda Asgard y por qué hay confusión sobre los reembolsos

Cuando el sistema detectó actividad anómala, el protocolo detuvo temporalmente las operaciones de trading y de firma para impedir nuevas salidas de fondos mientras el equipo investigaba el incidente.

Cómo se explotó la vulnerabilidad del sistema GG20

La principal hipótesis técnica apunta a una debilidad en la implementación del GG20 Threshold Signature Scheme (TSS), un sistema criptográfico utilizado en carteras MPC (multi‑party computation).

En este modelo, la clave privada completa no existe en un único lugar. En cambio, la autoridad para firmar transacciones se divide entre varios nodos que poseen fragmentos de la clave. Solo cuando suficientes nodos colaboran se puede autorizar una transacción.

Según investigadores de seguridad, el atacante habría aprovechado una vulnerabilidad en esta implementación y posiblemente estuvo vinculado a un nodo recientemente añadido al conjunto de validadores.

La teoría dominante es que el actor malicioso logró filtrar gradualmente material de las claves compartidas, reconstruyendo suficiente información para generar firmas válidas. Con esas firmas, pudo emitir retiros desde la bóveda como si fueran operaciones legítimas.

Los sistemas automáticos de monitoreo de THORChain detectaron finalmente el comportamiento anómalo y suspendieron el proceso de firma, lo que limitó el tamaño total del robo.

Informes contradictorios sobre un portal de reembolso

Después del ataque surgió una gran confusión sobre si THORChain estaba ofreciendo compensación a los usuarios afectados.

Algunos informes de medios cripto indicaron que el 16 de mayo se lanzó un portal de recuperación autocustodiado, respaldado por un fondo de $10 millones de la tesorería del protocolo. Según esos reportes, el portal permitiría a los usuarios:

• comprobar si su billetera es elegible para compensación
• revocar aprobaciones de tokens potencialmente maliciosas
• presentar reclamaciones de reembolso

También se informó que el sistema estaría disponible durante 21 días, con fecha límite el 4 de junio, y que 12,847 billeteras podrían presentar reclamaciones.

Sin embargo, otras fuentes citan declaraciones de desarrolladores de THORChain afirmando que no se había lanzado ningún programa oficial de compensación. En paralelo, el equipo advirtió sobre información falsa circulando en redes sociales relacionada con supuestos reembolsos o airdrops.

Debido a estas versiones contradictorias, los usuarios fueron aconsejados a no conectar sus billeteras ni firmar transacciones en portales no confirmados por canales oficiales de THORChain.

Advertencias de estafas tras el ataque

Tras el exploit, el equipo del protocolo publicó advertencias sobre campañas de phishing dirigidas a las víctimas.

Según THORChain, múltiples cuentas en redes sociales estaban promocionando iniciativas falsas, incluyendo:

• programas de reembolso
• airdrops
• reclamaciones de compensación

Este tipo de estafas es común después de exploits en DeFi, cuando los atacantes aprovechan la confusión para inducir a los usuarios a conectar sus wallets o firmar transacciones maliciosas.

Impacto en el mercado: caída de RUNE

El incidente también tuvo un efecto inmediato en el mercado.

El token nativo del protocolo, RUNE, cayó aproximadamente 11–12% en 24 horas, llegando a cotizar cerca de $0.51 tras conocerse el ataque.

La reacción del mercado reflejó preocupaciones sobre:

• la seguridad de las carteras MPC
• la infraestructura de puentes y swaps entre cadenas
• los supuestos de confianza en los nodos validadores

Por qué este exploit importa para la seguridad DeFi

El caso de THORChain vuelve a poner el foco en un riesgo estructural del ecosistema DeFi: la concentración de seguridad en sistemas criptográficos de firma compartida.

Los protocolos que gestionan liquidez entre varias blockchains dependen de modelos de multi‑party computation y firmas umbral para custodiar activos en distintas redes. Si una vulnerabilidad aparece en ese sistema —o si un nodo se comporta de forma maliciosa— el impacto puede extenderse a múltiples cadenas al mismo tiempo.

El incidente también demuestra que la comunicación posterior a un exploit se ha convertido en parte crítica de la seguridad. La confusión sobre portales de recuperación o programas de compensación puede provocar nuevas pérdidas si los usuarios caen en sitios falsos.

Qué puede pasar ahora

La investigación del exploit sigue en curso. Analistas de blockchain y empresas de análisis están rastreando las direcciones asociadas al atacante para seguir el movimiento de los fondos robados.

Algunos informes sugieren que las billeteras utilizadas para financiar el ataque habían sido preparadas semanas antes, lo que indicaría una operación planificada en lugar de un exploit oportunista.

Mientras tanto, los desarrolladores de THORChain están evaluando mejoras en su infraestructura criptográfica, incluyendo posibles cambios o reemplazos del sistema de firmas umbral utilizado actualmente.

Hasta que se publique un informe técnico completo, el incidente sirve como recordatorio de que incluso los protocolos DeFi más avanzados siguen enfrentando riesgos críticos de seguridad en infraestructuras multichain.