Un nuevo nodo esperó dos semanas. Luego tomó $10.7 millones de THORChain

** Un operador de nodo deshonesto drenó 10,7 millones de dólares de THORChain el 15 de mayo a través de una vulnerabilidad GG20. Aquí está la línea de tiempo completa, la respuesta de seguridad y lo que viene después.**

Alguien se unió al Discord de desarrolladores de THORChain el 1 de mayo bajo el alias Dinosauruss. La cuenta era nueva. Las preguntas eran específicas — cómo hacer que un nodo se incorpore a la red, y qué tan rápido. El intervalo normal de rotación de tres días ya había sido retrasado por razones no relacionadas, lo que significaba que había que esperar.

Según el Informe de Explotación de THORChain #1, publicado el 20 de mayo, la dirección del nodo del atacante (n84q) finalmente entró en el conjunto de validadores activos el 13 de mayo. Alrededor de 635,000 RUNE distribuidos en dos direcciones de fianza. Asignados aleatoriamente a uno de cinco bóvedas, como cualquier otro operador.

El Nodo que Entró y Nunca Salió

Durante dos días, el nodo participó en ceremonias rutinarias de firma GG20. No parecía haber irregularidades. GG20, o Gennaro-Goldfeder 2020, es el esquema de firma de umbral que THORChain usa para distribuir el control de las claves de las bóvedas entre operadores independientes. Ningún nodo individual posee la clave privada completa — en condiciones normales.

La falla cambió eso. A través de una filtración progresiva del material de la clave en varias rondas de firma, el atacante supuestamente reconstruyó la clave privada completa de la bóveda. Cuando la reconstrucción estuvo completa, las transacciones salientes fueron firmadas y transmitidas directamente, fuera de la ceremonia GG20 por completo.

El verificador de solvencia reactivo detectó la divergencia en minutos. Detectó que el saldo esperado superaba el saldo real en la cadena en más del 1% en varias cadenas, activando paradas automáticas en ETH, AVAX, BSC, BASE, DOGE y GAIA sin intervención humana. Los fondos, aproximadamente $10M en la primera estimación, ya se habían movido.

Discord se Iluminó Antes de que la Respuesta Oficial Llegara

Mientras la actividad de la red se detenía, un miembro de la comunidad alertó sobre transacciones inusuales: múltiples envíos desde el enrutador TC a una dirección de Ethereum sin memo. Esa publicación fue la primera alarma iniciada por humanos. ZachXBT, en X, advirtió a la comunidad que THORChain podría haber perdido más de $10M en Bitcoin, Ethereum, BSC y Base.

El nodo xuuu fue el primero en poner en pausa manualmente 720 bloques. Otros añadieron más pausas en rápida sucesión. El sistema de gobernanza de THORChain está diseñado exactamente para esto: un solo nodo no puede bloquear la red indefinidamente, pero múltiples nodos independientes actuando rápidamente pueden mantener una parada lo suficiente para investigar. El 15 de mayo, aproximadamente 18 a 20 nodos colocaron pausas simultáneamente.

Seguidamente, se realizaron votaciones formales de gobernanza en Mimir a través de Discord. Se cumplió el umbral de tres votos para los parámetros operativos. HALTTRADING se activó en el bloque 26183438. HALTSIGNING en el bloque 26183439. HALTCHAINGLOBAL en el bloque 26183590. HALTCHURNING en el bloque 26183849 — esta última específicamente para evitar que el nodo malicioso salga de la red.

Toda la red quedó bloqueada en aproximadamente dos horas tras la alarma de la comunidad.

Lo que la Investigación Encontró y lo que No Reveló

La primera declaración pública del equipo de desarrollo fue a las 11:01 del 15 de mayo, estimando pérdidas de 7,4 millones de dólares y enumerando tres vectores en investigación: una vulnerabilidad GG20, compromiso de infraestructura y otros. Se pidió a los operadores de nodos que auditaran la infraestructura y enviaran registros de Bifrost.

Para las 19:10 del mismo día, la situación era más clara. La forense en cadena vinculó la dirección del nodo malicioso thor16ucjv3v695mq283me7esh0wdhajjalengcn84q a las direcciones de Ethereum que recibieron los fondos robados. La cifra revisada de pérdidas fue de aproximadamente 10,7 millones de dólares. La coordinación con Outrider Analytics y las autoridades ya estaba en marcha, según el informe oficial.

El panorama de seguridad en DeFi en 2026 ya había registrado pérdidas de $620M solo hasta abril. El incidente de THORChain añadió más peso a las preocupaciones sobre vulnerabilidades en la capa criptográfica en infraestructura entre cadenas.

Parche Lanzado, Recuperación Aún en Curso

El 16 de mayo, el equipo de marketing emitió una advertencia de estafa. Schemas falsos de airdrops y reembolsos ya se estaban difundiendo en redes sociales. THORChain confirmó que no tiene un programa activo de reembolsos ni de airdrops.

Para el 18 de mayo, el parche v3.18.1 estaba próximo. El equipo de desarrollo dijo tener un entendimiento sólido del ataque, pero retendría los detalles técnicos hasta que otros proyectos que usan la misma implementación GG20 pudieran ser alertados en silencio y actualizar sus sistemas. Se pidió a todos los operadores de nodos que redujeran la escala de los pods de Bifrost antes del lanzamiento.

El camino completo de recuperación depende de la gobernanza comunitaria. ADR-028, el Registro de Decisiones de Arquitectura actualmente abierto a discusión, determinará cómo se manejarán los fondos perdidos. Las opciones en debate incluyen la reducción de fianzas y la absorción de liquidez propiedad del protocolo. Se espera que la estrategia elegida se implemente en v3.19.

THORChain ya había identificado DKLS, un esquema de firma de umbral más moderno, como su objetivo criptográfico a largo plazo. Silence Labs fue contratado en noviembre de 2025 para construir una implementación personalizada de DKLS con abortos identificables. La entrega prevista era para el Q1/Q2 de 2026. Mientras tanto, GG20 permaneció en producción. El atacante llegó en mayo.