-
ZachXBT identificó direcciones en Ethereum y Bitcoin vinculadas al exploit.
-
THORChain es usado para lavar dinero por hackers como el Grupo Lazarus, según Arkham.
THORChain, un protocolo descentralizado de intercambio de criptomonedas, registró pérdidas estimadas en más de USD 10 millones producto de un exploit en el que un atacante robó fondos en las redes Bitcoin, Ethereum, BNB Chain y Base, según una alerta emitida por el investigador on chain ZachXBT. El vector de ataque aún no fue identificado.
Tras el hackeo, el equipo de THORChain pausó todas las operaciones de intercambio, detuvo el proceso de firma de transacciones y congeló globalmente todas las cadenas conectadas al protocolo por un período de aproximadamente 12 horas y 42 minutos.
Evidencia on chain: dos direcciones, dos cadenas
Como parte de su alerta, ZachXBT identificó dos direcciones en Ethereum vinculadas al exploit. Una de ellas (0xd477b69551f49C0519F9B18c55030676138890Bd) acumula al tiempo de esta redacción 3.174 ethers (ETH, equivalentes a USD 7,16 millones) con transacciones iniciadas 14 horas antes de la publicación de la alerta, conforme a datos de Etherscan.
Ese saldo representa aproximadamente el 70% de los USD 10 millones estimados por ZachXBT, solo en Ethereum.
En la red Bitcoin, la dirección bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37 recibió 36,85 BTC (aproximadamente USD 3,3 millones) horas antes de la alerta de ZachXBT mediante la consolidación de fondos provenientes de múltiples direcciones, según btcscan.
Menos de dos horas después, esos fondos fueron redistribuidos hacia dos nuevas direcciones: 0,1 BTC a una y 36,75 BTC a otra. El patrón de consolidación seguida de dispersión inmediata es consistente con el movimiento inicial de fondos sustraídos, aunque su vínculo directo con el exploit no ha sido confirmado oficialmente.
La ruta favorita de Lazarus, ahora explotada
Como lo reportó CriptoNoticias, un informe de la firma de análisis on chain Arkham identificó a THORChain como la principal herramienta de lavado del Grupo Lazarus, la organización de hackers asociada a Corea del Norte responsable de más del 70% de los exploits en criptomonedas registrados en 2026.
Conforme a ese reporte, tras el robo de USD 1.500 millones a Bybit en febrero de 2025, unos USD 1.200 millones en ETH fueron convertidos a bitcoin a través de THORChain. En abril de 2026, entre USD 80 y USD 175 millones del exploit a KelpDAO siguieron la misma ruta.
En ambos casos, THORChain se negó a pausar o censurar las transacciones, amparándose en su diseño descentralizado y sin permisos. Esa postura cambió en cuanto el exploit afectó al propio protocolo: el cierre de emergencia ejecutado tras la alerta de ZachXBT es la primera vez que THORChain interrumpe sus operaciones por un ataque directo. Las pérdidas definitivas y el vector de ataque no habían sido confirmados oficialmente por THORChain al momento de la publicación.
