Puntos clave de la noticia:
- THORChain sufrió un exploit de $10,7 millones causado por una falla en su sistema de firma GG20 y un nodo operador malicioso.
- Un nodo malicioso reconstruyó la clave privada completa de una bóveda mediante filtraciones progresivas de material criptográfico, drenando los fondos.
- La propuesta ADR-028 plantea absorber las pérdidas con liquidez propia del protocolo, sin emitir ni vender tokens RUNE.
El exploit de THORChain en el que se perdieron aproximadamente $10,7 millones de una de las bóvedas del protocolo tuvo su origen en la combinación de dos factores: una vulnerabilidad en el sistema de firma de umbral GG20 y la actuación de un nodo malicioso. Así lo confirmó el propio protocolo en un informe post-mortem.
El esquema GG20 distribuye el control de las claves privadas entre múltiples operadores de nodo para que ninguno pueda acceder a una clave completa de forma individual. Sin embargo, la falla detectada permitió que el nodo malicioso reconstruyera la clave privada completa de una bóveda mediante lo que el informe describe como «filtración progresiva de material«. La brecha quedó expuesta antes de que ningún mecanismo humano pudiera intervenir.
THORChain Incident Update #4
Following the events of May 15th, the community has been hard at work defining a path forward. ADR028 is now published and a vote is open for Node Operators.🔹 The Recovery Plan 🔹
The protocol will absorb the loss first through Protocol-Owned…— THORChain (@THORChain) May 22, 2026
Los Sistemas Automáticos Actuaron Rápidamente
Los controles automáticos de solvencia del protocolo se activaron en cuestión de minutos y detuvieron las operaciones de firma y trading en múltiples cadenas sin intervención humana. Los operadores de nodo coordinaron luego a través de Discord un cierre total de la red, completado dentro de las dos horas siguientes al incidente. Un parche fue desplegado para corregir la vulnerabilidad.
El caso se conoció públicamente una semana antes, cuando el investigador de blockchain ZachXBT alertó sobre el exploit de $10 millones, momentos antes de que THORChain anunciara la suspensión total de operaciones. Se registra un fuerte repunte generalizado de ataques: según datos de DefiLlama, los exploits en el sector generaron más de $634 millones en pérdidas solo en abril.
La Comunidad de THORChain Opta por una Recuperación Sin Vender RUNE
THORChain publicó la propuesta de gobernanza ADR-028, actualmente abierta a votación entre los operadores de nodo. El plan contempla absorber las pérdidas primero con la liquidez propia del protocolo y distribuir el remanente entre los holders de synths, sin emitir ni vender tokens RUNE. Una porción de los ingresos del protocolo se redireccionaría para reponer esa liquidez en el tiempo.
El protocolo también ofreció una recompensa por la devolución de los fondos robados y anunció que penalizará al nodo malicioso, protegiendo a los nodos inocentes ubicados en la misma bóveda. ADR-028 propone mantener el framework GG20 en una versión parcheada, decisión que generó reacciones divididas.
