Thorchain perde quase US$ 11 milhões após invasores corromperem o processo de renovação de cofres em quatro cadeias

Fundos da Thorchain comprometidos

O investigador on-chain ZachXBT foi o primeiro a alertar sobre o incidente por meio de seu canal no Telegram, estimando perdas iniciais acima de US$ 7,4 milhões antes que estimativas revisadas elevassem o total. A violação atingiu cofres em Bitcoin, Ethereum, BNB Smart Chain e Base.

O método de ataque centrou-se em uma “rotatividade de cofre”, um processo padrão da Thorchain no qual os operadores de nós entram e saem enquanto os ativos são redistribuídos usando esquemas de assinatura de limiar. Os invasores parecem ter injetado endereços maliciosos nesse processo, enganando o sistema para que autorizasse transferências que não deveriam ter sido aprovadas.

Os ativos roubados incluem aproximadamente 3.443 ETH avaliados em US$ 7,77 milhões, 36,85 BTC no valor de cerca de US$ 2,97 milhões, 96,6 BNB no valor de cerca de US$ 66.000 e tokens adicionais, incluindo relatos iniciais de 798.000 USDC. Três endereços de roubo foram sinalizados publicamente em Bitcoin e Ethereum para rastreamento por empresas de segurança.

Os operadores de nós responderam rapidamente, acionando a parada de emergência global descentralizada da Thorchain por meio das configurações de governança Mimir do protocolo. A parada suspendeu as trocas, a movimentação de cofres e a assinatura nas cadeias afetadas a partir do bloco 26190429. As transações de RUNE na cadeia nativa continuaram com capacidade limitada.

O RUNE, token nativo da Thorchain, caiu de 12% a 15% poucas horas após o alerta de ZachXBT. O token caiu de cerca de US$ 0,58 para aproximadamente US$ 0,50 nas principais bolsas. Provedores de liquidez e usuários permanecem em espera enquanto empresas de segurança, incluindo Peckshield e Cyvers, monitoram os endereços sinalizados.

Até o momento da redação deste artigo, a conta @Thorchain no X não havia publicado nada publicamente sobre a exploração. Nenhuma análise pós-incidente oficial foi divulgada, e os fundos nos endereços identificados parecem estar em grande parte inativos.

A Thorchain já enfrentou ataques no nível do protocolo anteriormente. Em julho de 2021, várias explorações direcionadas ao roteador ETH drenaram entre US$ 4,9 milhões e US$ 8 milhões. A equipe cobriu as perdas com recursos do tesouro e suspendeu o protocolo para correções. Esta exploração atual segue um perfil de ameaça diferente, mas atinge um ponto fraco já conhecido: o processo de migração do cofre.

A arquitetura do protocolo foi construída para evitar pontos de falha centralizados. Ela opera mais de 90 nós descentralizados, não mantém nenhuma chave administrativa única e evita ativos encapsulados. Esse design resistiu a certos tipos de ataque, mas o processo de migração foi agora identificado como uma superfície explorável.

A Thorchain também chamou a atenção em 2025 e no início de 2026 como um canal para fundos ligados ao hack da Bybit, atribuído ao Grupo Lazarus com perdas próximas a US$ 1,4 bilhão, e ao incidente da KelpDAO envolvendo mais de US$ 175 milhões em trocas de ETH por BTC. Esses fluxos geraram taxas para o protocolo, mas atraíram críticas de pesquisadores de conformidade e segurança.

Esta é uma história em desenvolvimento. As investigações continuam em andamento, e os provedores de liquidez devem evitar interagir com o protocolo até que as negociações sejam retomadas e todos os detalhes sejam confirmados. Espera-se uma análise pós-incidente detalhada dos operadores de nós da Thorchain assim que a situação se estabilizar.

As atualizações serão publicadas nas páginas de documentação da Thorchain, na conta @Thorchain no X e na API Midgard assim que estiverem disponíveis.