Operadores de nós da THORChain votam sobre plano de reinicialização da rede após ataque que custou US$ 10,7 milhões ao cofre

A THORChain abriu uma votação de governança para os operadores de nós em seu processo de reinício das operações após o ataque de 15 de maio que drenou aproximadamente US$ 10,7 milhões de um único cofre.

A proposta, denominada ADR-028, descreve como a rede absorveria as perdas e retomaria as operações.

Quais vulnerabilidades levaram à exploração do THORChain?

Segundo relatos, um agente malicioso havia se juntado à rede como operador de nó dois dias antes do ataque. Em seguida, ele explorou uma falha no esquema de assinatura de limite GG20 (TSS) da THORChain, um sistema criptográfico que distribui o controle da chave do cofre entre vários nós independentes,dent modo que nenhum operador individual jamais possua a chave privada completa.

Apenas um dos cinco cofres foi afetado, com a empresa de segurança PeckShieldAlert estimando o prejuízo em cerca de US$ 10 milhões, divididos entre 36,75 BTC (cerca de US$ 3 milhões na época) e aproximadamente US$ 7 milhões em ativos nas redes Ethereum, BNB Chain e Base. A própria análise da THORChain após odent elevou o valor para US$ 10,7 milhões.

O protocolo afirmou que o ataque foi detectado em poucos minutos e que as negociações em toda a cadeia foram interrompidas, com os operadores de nós acionando pausas manuais por meio de seu sistema de governança, o que levou ao bloqueio total da rede em aproximadamente duas horas após o alerta.

O RUNE, token nativo da THORChain, caiu mais de 21% nos dias seguintes à violação de segurança. Atualmente, está cotado em torno de US$ 0,44, de acordo com dados do CoinMarketCap.

O que propõe a ADR-028?

O ADR-028 foi publicado pela THORChain no GitLab do protocolo publicação afirmou que o plano de recuperação prevê que a THORChain "absorva a perda primeiro por meio da Liquidez de Propriedade do Protocolo", acrescentando que o restante da perda será distribuído entre os detentores de synths.

Isso significa que a liquidez pertencente ao protocolo será reduzida a zero, e a THORChain afirma que "o ADR propõe redirecionar uma parte da receita do sistema para repô-la ao longo do tempo"

O comunicado afirma que o GG20 foi corrigido e atualizado, acrescentando que os nós que não estão vinculados ao atacante, mas que foram afetados por ele por estarem no mesmo cofre, não serão penalizados. Propõe ainda que o atacante receba 10% da recompensa para devolver os fundos.

No GitLab, um usuário com o nome de usuário deu seu feedback sobre a proposta, levantando dois pontos.

Uma das propostas era remover a seção de recompensas para atacantes do ADR, afirmando que o assunto deveria ser tratado por meio de perícia forense e aplicação da lei. O segundo ponto defendia uma alocação permanente da receita do sistema para auditorias de segurança externas, revisão adversária da camada TSS e um programa de recompensas por bugs financiado, com prazos de lançamento vinculados a ele.

“Da forma como está escrito, o plano reconstrói a liquidez de um cofre, mas ainda não financia nada contra a recorrência”, escreveu o comentarista no trecho do GitLab. “Vale a pena corrigir a causa junto com o balanço patrimonial.”

O rastro do agressor

empresa de análise de blockchain, publicou em 16 de maio evidências on-chain que conectam o atacante a carteiras que foram financiadas semanas antes do roubo. A empresa tracos movimentos do atacante através do Monero, Hyperliquid e da própria THORChain.

Uma carteira depositou XMR através de uma ponte de privacidade Hyperliquid-Monero no final de abril, trocou a posição resultante por USDC, depois retirou o valor para a Arbitrum e o transferiu para a Ethereum. Um intermediário então encaminhou 8 ETH para a carteira receptora do atacante apenas 43 minutos antes da chegada dos fundos roubados, de acordo com a Chainalysis.

O que acontecerá com a THORChain agora? 

O voto dos operadores de nós sobre o ADR-028 determinará se o THORChain será reiniciado sob a estrutura de recuperação proposta ou se serão necessárias revisões adicionais. 

De acordo com o relatório de exploração, a THORChain já haviadentum esquema de assinatura mais moderno, chamado DKLS, como seu substituto a longo prazo para o GG20 e contratou a Silence Labs em novembro de 2025 para construir uma implementação personalizada, com entrega prevista para o primeiro ou segundo trimestre de 2026.