THORChain (RUNE) ha abierto una votación de gobernanza comunitaria para determinar su vía de recuperación tras un exploit ocurrido el 15 de mayo, en el que un operador de nodo malintencionado drenó aproximadamente 10,7 millones de dólares de una única bóveda, lo que provocó que la red detuviera todas las operaciones de intercambio y firma. El token RUNE cayó un 10% el día del incidente, según datos de CoinGecko.
El equipo de desarrollo del protocolo detalló el ataque en un informe posterior al incidente, atribuyendo la pérdida a una sofisticada explotación de su esquema de firma de umbral GG20. "A través de la filtración progresiva de material de clave a lo largo de múltiples rondas de firma, el atacante supuestamente reconstruyó la clave privada completa de la bóveda", afirmaba el informe. Esto permitió al atacante firmar transacciones directamente, eludiendo el modelo de seguridad multiparte.
El análisis on-chain confirmó que el atacante entró en el conjunto de validadores el 13 de mayo tras depositar 635.000 RUNE. El exploit comenzó dos días después, y los verificadores de solvencia automatizados detuvieron seis cadenas en los 52 minutos siguientes a las transacciones no autorizadas. Los operadores de nodos coordinaron entonces un bloqueo total de la red mediante votos de gobernanza de Mimir, impidiendo que el nodo malicioso saliera y reclamara su fianza.
Este incidente se suma a los más de 840 millones de dólares perdidos en hackeos de DeFi en 2026, un año marcado por ataques cada vez más sofisticados a la infraestructura cross-chain. El exploit de THORChain se dirigió específicamente a la capa criptográfica, a diferencia de los ataques de ingeniería social o centrados en puentes que han caracterizado otras pérdidas importantes este año.
El exploit: Un nodo malicioso y un fallo en GG20
El ataque fue iniciado por un nuevo operador de nodo que se unió al Discord de desarrolladores el 1 de mayo bajo el seudónimo Dinosauruss. Tras entrar en el conjunto de validadores activos, el operador utilizó un fallo en el proceso de firma GG20 para filtrar progresivamente material de clave de una bóveda durante dos días. Una vez reconstruida la clave privada completa, el atacante drenó los fondos directamente, siendo el investigador de seguridad ZachXBT uno de los primeros en señalar las sospechosas transacciones salientes en X.
Respuesta y parada de la red
El modelo de seguridad de THORChain respondió por capas. El verificador de solvencia automatizado del protocolo, que supervisa las discrepancias de saldo, se activó primero, deteniendo la actividad en las cadenas afectadas. A esto le siguió una respuesta manual de la comunidad, con más de 18 operadores de nodos acumulando comandos de pausa para mantener la red detenida mientras se investigaba la situación. Desde entonces, el equipo ha publicado el parche v3.18.1 para solucionar la vulnerabilidad y se está coordinando con otros proyectos que utilizan la misma implementación de GG20.
ADR-028: Una votación comunitaria sobre la recuperación
El camino para restaurar la funcionalidad completa de la red y abordar la pérdida financiera depende ahora de una votación de gobernanza sobre el Registro de Decisión de Arquitectura 028 (ADR-028). La propuesta describe un plan para compensar a los usuarios utilizando la propia liquidez del protocolo (POL) para cubrir el déficit. El plan establece explícitamente que no se acuñarán nuevos RUNE. También incluye una disposición para ofrecer al hacker una recompensa por devolver la mayor parte de los fondos. La votación determinará si las pérdidas son absorbidas por el protocole o si se utilizarán otras medidas, como el recorte de la fianza del atacante.
Este artículo tiene únicamente fines informativos y no constituye asesoramiento de inversión.
