El reinicio de la red THORChain va a las urnas mientras los operadores de nodos votan sobre ADR028

THORChain ha abierto una votación de gobernanza para los operadores de nodos en su camino hacia la reanudación de operaciones tras el exploit del 15 de mayo que drenó aproximadamente $10.7 millones de un único vault.

La propuesta, denominada ADR-028, describe cómo la red absorbería las pérdidas y reanudaría las operaciones.

¿Qué vulnerabilidades llevaron al exploit de THORChain?

Según los informes, un actor malicioso se unió a la red como operador de nodo dos días antes del ataque. Luego procedió a explotar una falla en el esquema GG20 de THORChain de firma de umbral (TSS), un sistema criptográfico que distribuye el control de las claves del vault entre múltiples nodos independientes para que ningún operador único posea jamás la clave privada completa.

Solo uno de los cinco vaults resultó afectado, con la firma de seguridad PeckShieldAlert estimando el botín en aproximadamente $10 millones, divididos entre 36.75 BTC (alrededor de $3 millones en ese momento) y aproximadamente $7 millones en activos distribuidos entre Ethereum, BNB Chain y Base. El análisis post-incidente del propio THORChain cifró la cantidad en $10.7 millones.

El protocolo declaró que el ataque fue detectado en cuestión de minutos y se activaron interrupciones de operaciones a nivel de cadena, con los operadores de nodos aplicando pausas manuales a través de su sistema de gobernanza, lo que llevó al bloqueo total de la red en aproximadamente dos horas desde la alarma.

RUNE, el token nativo de THORChain, cayó más de un 21% en los días posteriores a la brecha. Actualmente cotiza alrededor de $0.44 según los datos de CoinMarketCap.

¿Qué propone ADR-028?

ADR-028 fue publicado por THORChain en GitLab con una votación abierta para los operadores de nodos. La publicación del protocolo en X indicó que el plan de recuperación haría que THORChain "absorbiera la pérdida primero a través de la Liquidez de Propiedad del Protocolo", añadiendo que el resto de la pérdida se distribuiría entre los titulares de synths.

Esto significa que la liquidez de propiedad del protocolo se reducirá a cero, y THORChain afirma que "el ADR propone redirigir una parte de los ingresos del sistema para reponerla con el tiempo".

Se indicó que GG20 ha sido parcheado y actualizado, añadiendo que los nodos que no estén vinculados al atacante pero que se vean afectados por estar en el mismo vault no serán penalizados. También propone ofrecerle al atacante el 10% de la recompensa para devolver los fondos.

En GitLab, un comentarista usando el seudónimo dio su opinión sobre la propuesta, planteando dos puntos.

Uno de ellos era eliminar la sección de recompensa al atacante del ADR, indicando que debería manejarse a través de investigación forense y aplicación de la ley. El segundo punto abogó por una asignación permanente de los ingresos del sistema hacia auditorías de seguridad externas, revisión adversarial de la capa TSS y un programa de recompensas por errores financiado con puertas de lanzamiento vinculadas al mismo.

"Tal como está escrito, el plan reconstruye la liquidez de un vault pero aún no financia nada contra la recurrencia", escribió el comentarista en el fragmento de GitLab. "Vale la pena solucionar la causa junto con el balance."

El rastro del atacante

La firma de análisis blockchain Chainalysis publicó evidencia on-chain el 16 de mayo que conecta al atacante con carteras que fueron financiadas semanas antes del robo. La firma rastreó los movimientos del atacante a través de Monero, Hyperliquid y el propio THORChain.

Una cartera depositó XMR a través de un puente de privacidad Hyperliquid-Monero a finales de abril, intercambió la posición resultante por USDC, luego retiró a Arbitrum y puenteó a Ethereum. Un intermediario luego envió 8 ETH a la cartera receptora del atacante apenas 43 minutos antes de que llegaran los fondos robados, según Chainalysis.

¿Qué pasará con THORChain ahora? 

La votación del operador de nodos sobre ADR-028 determinará si THORChain se reinicia bajo el marco de recuperación propuesto o si requiere revisiones adicionales. 

THORChain ya había identificado un esquema de firma más moderno llamado DKLS como su reemplazo a largo plazo para GG20 y había contratado a Silence Labs en noviembre de 2025 para construir una implementación personalizada, con entrega prevista para el primer o segundo trimestre de 2026, según el informe del exploit.

Si estás leyendo esto, ya llevas ventaja. Mantenla con nuestro boletín.