Thorchain pierde casi 11 millones de dólares tras un ataque que alteró el proceso de rotación de la caja fuerte en cuatro cadenas

Fondos de Thorchain comprometidos

El investigador on-chain ZachXBT fue el primero en señalar el incidente a través de su canal de Telegram, situando las pérdidas iniciales por encima de los 7,4 millones de dólares antes de que las estimaciones revisadas elevaran el total. La brecha afectó a las bóvedas de Bitcoin, Ethereum, BNB Smart Chain y Base.

El método de ataque se centró en una rotación de la bóveda, un proceso estándar de Thorchain en el que los operadores de nodos entran y salen mientras los activos se redistribuyen utilizando esquemas de firma de umbral. Los atacantes parecen haber inyectado direcciones maliciosas en ese proceso, engañando al sistema para que autorizara transferencias que no debería haber aprobado.

Los activos robados incluyen aproximadamente 3.443 ETH valorados en 7,77 millones de dólares, 36,85 BTC por valor de aproximadamente 2,97 millones de dólares, 96,6 BNB por valor de unos 66.000 dólares y tokens adicionales, incluyendo informes iniciales de 798.000 USDC. Se señalaron públicamente tres direcciones de robo en Bitcoin y Ethereum para su seguimiento por parte de las empresas de seguridad.

Los operadores de nodos respondieron rápidamente activando la parada de emergencia global descentralizada de Thorchain a través de la configuración de gobernanza Mimir del protocolo. La parada suspendió los intercambios, la rotación de la bóveda y la firma en las cadenas afectadas a partir del bloque 26190429 aproximadamente. Las transacciones de RUNE en la cadena nativa continuaron con capacidad limitada.

RUNE, el token nativo de Thorchain, cayó entre un 12 % y un 15 % a las pocas horas de la alerta de ZachXBT. El token bajó de unos 0,58 $ a aproximadamente 0,50 $ en las principales bolsas. Los proveedores de liquidez y los usuarios permanecen a la espera mientras las empresas de seguridad, entre ellas Peckshield y Cyvers, supervisan las direcciones señaladas.

En el momento de redactar este artículo, la cuenta @Thorchain en X no había publicado nada sobre el exploit. No se ha publicado ningún análisis oficial posterior al incidente, y los fondos en las direcciones identificadas parecen estar en gran parte inactivos. Thorchain ya se ha enfrentado a ataques a nivel de protocolo anteriormente. En julio de 2021, múltiples exploits dirigidos al enrutador ETH desviaron entre 4,9 y 8 millones de dólares. El equipo cubrió las pérdidas con fondos de la tesorería y pausó el protocolo para aplicar las correcciones. Este exploit actual sigue un perfil de amenaza diferente, pero afecta a un punto débil ya conocido: el proceso de migración de la bóveda. La arquitectura del protocolo se diseñó para evitar puntos de fallo centralizados. Cuenta con más de 90 nodos descentralizados, no posee ninguna clave de administrador única y evita los activos envueltos. Ese diseño ha resistido ciertos tipos de ataques, pero el proceso de rotación se ha identificado ahora como una superficie vulnerable.

Thorchain también llamó la atención en 2025 y a principios de 2026 como vía de paso de fondos relacionados con el hackeo de Bybit, atribuido al Grupo Lazarus con pérdidas cercanas a los 1.400 millones de dólares, y con el incidente de KelpDAO, que implicó más de 175 millones de dólares en intercambios de ETH a BTC. Esos flujos generaron comisiones para el protocolo, pero suscitaron críticas por parte de investigadores de cumplimiento normativo y seguridad.

Esta es una noticia en desarrollo. Las investigaciones siguen en curso, y los proveedores de liquidez deben evitar interactuar con el protocolo hasta que se reanude la negociación y se confirmen todos los detalles. Se espera un análisis detallado por parte de los operadores de nodos de Thorchain una vez que la situación se estabilice. Las actualizaciones aparecerán en las páginas de documentación de Thorchain, en la cuenta de X @Thorchain y en la API de Midgard a medida que estén disponibles.