THORChain detiene las estafas de recuperación de datos mientras Chainalysis traclas billeteras de los atacantes en una explotación de 10 millones de dólares

THORChain publicó un comunicado en X el 16 de mayo, pidiendo a los usuarios que ignoren la información sobre un programa de recuperación que está llevando a cabo tras la vulnerabilidad que provocó la pérdida de alrededor de 10 millones de dólares en criptoactivos.

El mismo día en que THORChain aclara la desinformación que circula, la empresa de análisis de blockchain Chainalysis publicó pruebas en la cadena de bloques que vinculan a los atacantes con monederos que fueron financiados semanas antes de que se ejecutara el robo.

THORChain escribió: “Hemos detectado varias cuentas falsas e información falsa que circula sobre ‘reembolsos’, ‘airdrops’, reclamaciones de compensación y otras supuestas iniciativas”.

La plataforma de intercambio descentralizada centrada en Bitcoindeclaró que, según sus hallazgos iniciales, no se perdió ningún fondo de usuario a causa de la vulnerabilidad. Asimismo, afirmó que actualmente no están llevando a cabo ningún programa de reembolso, airdrop ni compensación.

Hizo un llamamiento a los usuarios para que ignoraran cualquier cuenta que afirmara lo contrario o que suplantara la identidad de THORChain.  

El fraude de 10 millones de dólares que sacudió a ThorChain

La empresa de seguridad PeckShield estimó que los fondos robados de ThorChain ascendían a unos 10 millones de dólares, incluyendo 36,75 BTC (unos 3 millones de dólares) y aproximadamente 7 millones de dólares en activos de Ethereum, BNB Chain y Base. Según informes previos de Cryptopolitan, los Bitcoin se transfirieron a una sola billetera, mientras que más de 3156 ETH fueron a parar a una dirección separada tracpor Arkham Intelligence.

El 15 de mayo, THORChain declaró que "las pruebas actuales apuntan a un nodo recientemente modificado vinculado al ataque, probablemente operado por un único actor malicioso".

Afirmó que aún está investigando la vulnerabilidad, pero agregó que su principal teoría sobre su causa es una vulnerabilidad en la implementación del sistema de seguridad de transacciones GG20, que permite que el material de la clave de la bóveda se "filtre con el tiempo"

La red se encuentra actualmente en pausa después de que varios operadores de nodos ejecutaran el comando "hacer pausa", pero se ha indicado que se está trabajando en un plan de reinicio.

Hasta el momento, la plataforma no se ha comprometido con un plan de recuperación; sin embargo, ha declarado que todas las decisiones de recuperación probablemente requerirán decisiones de gobernanza de los nodos sobre cómo gestionar las pérdidas.

de THORChain, El token nativo , ha caído más de un 21% tras el incidente, cotizando cerca de 0,42 dólares el 16 de mayo.

Chainalysis vincula al atacante con monederos preconfigurados

Chainalysis publicó en X una serie de cinco artículos que detallaban semanas de actividad preparatoria en la cadena de bloques por parte de las billeteras que conectó con el atacante. La empresa afirmó que las billeteras vinculadas al atacante transfirieron fondos a través de Monero, Hyperliquid y la propia THORChain antes de ejecutar el robo.

A finales de abril, una de estas billeteras depositó XMR a través de un puente de privacidad Hyperliquid-Monero, intercambió la posición resultante por USDC, retiró los fondos a Arbitrum y los transfirió a Ethereum, según informó Chainalysis.

El ETH que se había transferido se dividió en cuatro ramas. Una de ellas se conectó directamente con la billetera receptora del atacante: un intermediario le transfirió 8 ETH tan solo 43 minutos antes de que llegaran los fondos robados, según el análisis de la empresa.

Los colaboradores de THORChain indicaron en una actualización de Discord que la evidencia actual apunta a un nodo recientemente modificado vinculado al ataque, probablemente operado por un único actor malicioso. La teoría principal involucra una vulnerabilidad en el esquema de firma GG20, según la actualización deldent del protocolo publicada en X.

Esta vulnerabilidad se suma a una serie dedentde seguridad DeFi ocurridos en mayo de 2026. Cryptopolitan ya informó sobre las vulnerabilidades de Transit Finance (con pérdidas aproximadas de 1,88 millones de dólares), así como las que se produjeron en Huma Finance (con pérdidas aproximadas de 101.400 dólares) e Ink Finance (con pérdidas de alrededor de 140.000 dólares) a principios de mes, ambas dirigidas atracinteligentes en Polygon.