Un portafoglio personale, presumibilmente appartenente a un co-fondatore di THORChain, è stato violato, causando una perdita di oltre 1,2 milioni di dollari, secondo il security tracPeckshield. Il protocollo ha smentito precedenti segnalazioni sulle piattaforme social, secondo cui la violazione avrebbe interessato l'intera rete.
La piattaforma di sicurezza Web3 ExVul Defender ha pubblicato venerdì X che l'aggressore ha iniziato a spostare fondi due giorni fa. Secondo quanto riferito, hanno ottenuto liquidità iniziale da un mixer prima di interagire con la rete THORChain, effettuando le loro prime transazioni alle 06:41:47 UTC di mercoledì.
Correzione: questo incidente dent coinvolto lo sfruttamento del portafoglio personale di un utente e non è correlato a @THORChain . 🙏 https://t.co/mACcL1WkPt
— THORChain (@THORChain) 12 settembre 2025
Su Etherscan, l'indirizzo del portafoglio, in collaborazione con THORChain, ha emesso tre offerte di ricompensa entro due giorni dall'attacco hacker, ma finora l'aggressore non ha risposto.
ZachXBT: La vittima è il co-fondatore di THORChain JP
Rispondendo al post X dell'avviso di PeckShield, l'investigatore della sicurezza blockchain ZachXBT ha dent la vittima come John-Paul Thorbjornsen, noto anche come JP, co-fondatore sia di THORChain che dell'applicazione wallet Vultisig.
Il portafoglio appartiene probabilmente a @jpthor , il cui portafoglio privato è stato compromesso a causa di una truffa di una riunione fasulla qualche giorno fa.
JP è una delle persone che ha tratto grandi benefici finanziari dal riciclaggio di attacchi informatici/exploit della RPDC.
Quindi è un po' poetico che sia stato arrestato qui dalla RPDC. pic.twitter.com/T57RRJ0bbf
- ZachXBT (@zachxbt) 12 settembre 2025
Secondo ZachXBT, il portafoglio personale di JP è stato prosciugato di circa 1,35 milioni di dollari durante una truffa tramite teleconferenza su Telegram orchestrata da hacker nordcoreani martedì.
JP e le piattaforme a lui collegate sono state in precedenza collegate a benefici finanziari derivanti da attività di riciclaggio legate ad attacchi informatici legati alla RPDC , tra cui l'exploit Bybit da 1,5 miliardi di dollari in Ethereum eseguito a fine febbraio.
"JP è una delle persone che ha tratto grandi benefici finanziari dal riciclaggio di hack e exploit della RPDC", ha scritto ZachXBT. "Quindi è un po' poetico che sia stato arrestato qui dalla RPDC"
I registri blockchain del 9 settembre rivelano una serie di movimenti di fondi dall'indirizzo rubato, che potrebbero essere stati un tentativo di oscurare la traccia dei fondi. Il primo trasferimento ha coinvolto 6.233.015 token THORChain, che sono stati spostati dal portafoglio compromesso tre giorni fa.
Quasi subito dopo, un'altra transazione ha inserito 6.233.180 token in un indirizzo contrassegnato come "Fake_Phishing1347722", un'etichetta associata al riciclaggio e all'offuscamento correlato al phishing.
Sempre nel corso della giornata, l'aggressore ha spostato 6.333.180 token tramite THORChain, seguiti da altri 6.333.333 token, probabilmente trasferendo grandi somme su indirizzi diversi, insieme a un pagamento più piccolo di 1.250.000 token.
Il più grande gruppo di fondi rubati, pari a 2.778.345 token, è finito nel protocollo Kyber, probabilmente scambiato per creare livelli di separazione dalla fonte originale.
Attualmente, la maggior parte dei fondi rubati, per un valore di 1,218 milioni di dollari, si trova a 0x7abc09ab94d6015053f8f41b01614bb6d1cc7647 , ha affermato ZachXBT nel suo canale Telegram dedicato alle indagini.
THORChain ha tratto vantaggio dall'attacco informatico a Bybit?
I dati di Arkham Intelligence mostrano che gli hacker dietro l'attacco Bybit hanno trasferito almeno 209.384 ETH, per un valore di circa 480 milioni di dollari, in Bitcoin. Si tratta di oltre il 50% dei 400.000 ETH stimati rubati dall'exchange.
I ricercatori di blockchain tracquasi 1,2 miliardi di dollari in criptovalute illecite, circa l'85% dei fondi persi dall'attacco hacker a Bybit, transitati tramite THORChain. Nei primi giornident, almeno 240 milioni di dollari dei proventi di Bybit sono stati trasferiti tramite THORChain e convertiti in BTC, ha riferito Arkham.
Alcuni concorrenti hanno collaborato con le autorità per limitare le transazioni sospette, ma gli operatori di THORChain hanno fatto ben poco per bloccare gli indirizzi, nonostante le richieste formali dell'FBI e di altre agenzie. Le applicazioni wallet basate sulla rete, tra cui Asgardex e Vultisig, hanno continuato a elaborare l'attività senza interruzioni.
Le aziende di sicurezza blockchain hanno affermato che i validatori della rete e gli sviluppatori di wallet, molti dei quali sono pubblicamentedente operano in giurisdizioni con rigidi requisiti antiriciclaggio, hanno richiesto commissioni per oltre 12 milioni di dollari per il riciclaggio di fondi.
"Il protocollo continua a funzionare e a scambiare nonostante il caos. Sta andando alla grande, in realtà", ha detto Thorbjornsen, apparentemente difendendo le sue operazioni. All'epoca, THORChain ha registrato il suo più grande singolo giorno di scambi di sempre, con oltre 737 milioni di dollari di token scambiati sulla rete.
