THORChain blocca le truffe di recupero fondi: Chainalysis traci portafogli degli hacker in una violazione da 10 milioni di dollari

Il 16 maggio THORChain ha rilasciato una dichiarazione su X, chiedendo agli utenti di ignorare le informazioni relative a un programma di recupero avviato in seguito all'attacco che ha causato la perdita di circa 10 milioni di dollari in criptovalute.

Nello stesso giorno in cui THORChain sta chiarendo la situazione riguardo alla disinformazione in circolazione, la società di analisi blockchain Chainalysis ha pubblicato prove on-chain che collegano gli hacker a portafogli che erano stati finanziati settimane prima che il furto venisse eseguito.

THORChain ha scritto: "Siamo venuti a conoscenza di numerosi account falsi e di informazioni errate che circolano in merito a 'rimborsi', 'airdrop', richieste di risarcimento e altre presunte iniziative".

L'exchange decentralizzato focalizzato su Bitcoinha dichiarato che, in base alle prime indagini, nessun fondo degli utenti è andato perso a causa dell'attacco. Ha inoltre affermato di non aver attualmente avviato alcun programma di rimborso, airdrop o compensazione.

L'azienda ha invitato gli utenti a ignorare qualsiasi account che affermi il contrario o che si spacci per THORChain.  

La truffa da 10 milioni di dollari che ha scosso ThorChain

La società di sicurezza PeckShield ha stimato che i fondi rubati a ThorChain ammontino a circa 10 milioni di dollari, inclusi 36,75 BTC (circa 3 milioni di dollari) e circa 7 milioni di dollari in asset provenienti da Ethereum, BNB Chain e Base. I Bitcoin sono stati trasferiti in un unico portafoglio, mentre oltre 3.156 ETH sono finiti in un indirizzo separato tracda Arkham Intelligence, secondo quanto riportato in precedenza da Cryptopolitan.

Il 15 maggio, THORChain ha dichiarato che "le prove attuali indicano un nodo appena creato e collegato all'attacco, probabilmente gestito da un singolo malintenzionato".

L'azienda ha dichiarato di essere ancora impegnata nelle indagini sull'exploit, aggiungendo tuttavia che la sua principale ipotesi sulla causa del problema è una falla nell'implementazione del TSS GG20, che consentirebbe al materiale contenente le chiavi del vault di "diffondersi nel tempo"

La rete è attualmente in pausa dopo che più operatori di nodo hanno eseguito il comando "make pause", ma ha dichiarato di essere al lavoro su un piano di riavvio.

Finora, la piattaforma non si è impegnata a definire un piano di ripristino; tuttavia, ha dichiarato che tutte le decisioni relative al ripristino richiederanno probabilmente decisioni da parte della governance dei nodi in merito a come gestire le perdite.

di THORChain, il token nativo , ha subito un calo di oltre il 21%, attestandosi intorno a 0,42 dollari il 16 maggio.

Chainalysis collega l'attaccante ai portafogli preconfigurati

Chainalysis ha pubblicato su X una serie di cinque articoli che descrivevano dettagliatamente le attività preparatorie svolte per settimane sulla blockchain dai wallet collegati all'attaccante. L'azienda ha affermato che i wallet collegati all'attaccante hanno trasferito fondi attraverso Monero, Hyperliquid e la stessa THORChain prima di eseguire il furto.

Alla fine di aprile, uno di questi portafogli ha depositato XMR tramite un bridge per la privacy Hyperliquid-Monero, ha scambiato la posizione risultante con USDC, ha prelevato su Arbitrum e ha effettuato il bridge su Ethereum, ha affermato Chainalysis.

L'ETH trasferito è stato poi suddiviso in quattro rami. Un ramo era collegato direttamente al portafoglio ricevente dell'attaccante: un intermediario vi ha inoltrato 8 ETH appena 43 minuti prima dell'arrivo dei fondi rubati, secondo l'analisi della società.

I collaboratori di THORChain hanno affermato in un aggiornamento su Discord che le prove attuali indicano un nodo appena creato e collegato all'attacco, probabilmente gestito da un singolo malintenzionato. La teoria principale riguarda una vulnerabilità nello schema di firma GG20, secondo l'aggiornamentodent del protocollo pubblicato su X.

Questo exploit si aggiunge a una serie didentdi sicurezza DeFi avvenuti nel maggio 2026. Cryptopolitan aveva già segnalato exploit che avevano colpito Transit Finance (con una perdita di circa 1,88 milioni di dollari), Huma Finance (con una perdita di circa 101.400 dollari) e Ink Finance (con una perdita di circa 140.000 dollari) all'inizio del mese, entrambi mirati a smarttracsu Polygon.