-
El exploit del 15 de mayo comprometió 1 de 6 bóvedas de la plataforma.
-
THORChain no ha confirmado fecha de reapertura.
THORChain, protocolo descentralizado de intercambio entre cadenas de bloques, sometió el 8 de junio a votación de sus validadores la actualización v3.19.0, que incluye parches de seguridad y un plan de recuperación en 11 pasos.
La red permanece detenida desde el 15 de mayo, cuando un nodo validador malicioso drenó USD 10,7 millones en activos de Bitcoin, Ethereum, BNB Chain y Base, según el postmortem publicado por THORChain.
Según el protocolo, el atacante ingresó a la red el 13 de mayo como nodo legítimo y participó durante dos días en operaciones de firma rutinarias mediante el esquema criptográfico GG20 —que permite a múltiples nodos firmar transacciones de forma conjunta sin que ninguno posea la clave completa. Ese acceso le permitió reconstruir la clave privada de una de las seis bóvedas Asgard del protocolo y ejecutar transacciones de salida sin autorización, afectando aproximadamente el 20% de los fondos en bóvedas activas. THORChain afirmó que los fondos de usuarios no fueron afectados.
La actualización v3.19.0 incorpora parches al sistema de firma de umbral (TSS) e implementa ADR-028, diseñado para mitigar el impacto económico del hackeo. Su componente central es el Compromised Vault mimir: un mecanismo que permite a la red poner en cuarentena bóvedas comprometidas e impedir que participen en el procesamiento de transacciones. Antes de reanudar el trading, los validadores deberán completar un protocolo temporal de verificación de claves compartidas nodo por nodo, denominado keyverify.
El plan de recuperación publicado por THORChain contempla los siguientes pasos secuenciales:
- Votar la aprobación de la v3.19.0.
- Actualizar la red.
- Activar la cuarentena de bóvedas.
- Validar la migración ADR-028
- Verificar los keyshares de cada nodo
- Reanudar la firma.
- Iniciar el churn.
- Aguardar su finalización.
- Desbloquear activos asegurados, acciones de liquidez y trading.
Antecedentes de vulnerabilidades no divulgadas
El hackeo de mayo se produjo en un contexto de señales previas sobre fallas de seguridad en el protocolo. Según informó CriptoNoticias, la firma V12 Security reveló haber identificado a finales de abril una vulnerabilidad crítica distinta —que permitía a un único nodo validador eludir el requisito de confirmaciones y vaciar pools de liquidez— y que THORChain aplicó el parche sin comunicación pública ni pago de recompensa, alegando que su programa de reporte de vulnerabilidades estaba «permanentemente retirado». La firma QED Audit reportó una situación similar en enero, tras descubrir dos fallos que habrían permitido el robo de más de USD 40 millones: ambos fueron corregidos en la v3.15.0 también sin compensación.
TRM Labs, firma de análisis de blockchain especializada en rastreo de fondos ilícitos en redes cripto, señaló que THORChain ha operado históricamente como infraestructura para mover activos robados entre cadenas, al haber sido utilizada para lavar fondos del hackeo de Bybit (USD 1.500 millones, febrero de 2025) y del hackeo de KelpDAO (USD 300 millones, abril de 2026). Según TRM Labs, el protocolo resiste los mecanismos de interdicción de puentes utilizados en otros incidentes y complica los flujos de atribución forense por su capacidad de conversión nativa entre cadenas sin activos intermediarios.
La librería criptográfica central del protocolo, tss-lib, fue colocada temporalmente en código cerrado para que el equipo THORSec complete una auditoría interna sin exponer el trabajo de remediación, según comunicó el protocolo el 27 de mayo. La reapertura de operaciones está condicionada a que la v3.19.0 complete pruebas en red de prueba antes de desplegarse en la red principal, sin fecha confirmada.
