THORChain ha aperto una votazione di governance per gli operatori dei nodi nel percorso verso la ripresa delle operazioni dopo l'attacco informatico del 15 maggio che ha sottratto circa 10,7 milioni di dollari da un singolo caveau.
La proposta, denominata ADR-028, illustra come la rete assorbirebbe le perdite e riprenderebbe le operazioni.
Quali vulnerabilità hanno portato all'exploit di THORChain?
Secondo quanto riferito, un malintenzionato si era unito alla rete come operatore di nodo due giorni prima dell'attacco. Ha quindi sfruttato una falla nel sistema di firma a soglia GG20 (TSS) di THORChain, un sistema crittografico che distribuisce il controllo della chiave del vault su più nodi indipendenti, in modo che nessun singolo operatore detenga mai la chiave privata completa.
Solo uno dei cinque caveau è stato colpito, e la società di sicurezza PeckShieldAlert ha stimato il bottino a circa 10 milioni di dollari, suddivisi tra 36,75 BTC (circa 3 milioni di dollari all'epoca) e circa 7 milioni di dollari in asset su Ethereum, BNB Chain e Base. L'analisi post-incidente di THORChain ha stimato la cifra a 10,7 milioni di dollari.
Il protocollo affermava che l'attacco era stato individuato nel giro di pochi minuti e che erano stati attivati blocchi delle negoziazioni a livello di blockchain, con gli operatori dei nodi che avevano imposto pause manuali tramite il sistema di governance, portando al blocco totale della rete entro circa due ore dall'allarme.
RUNE, il token nativo di THORChain, ha perso oltre il 21% del suo valore nei giorni successivi alla violazione dei dati. Attualmente, secondo i dati di CoinMarketCap , viene scambiato intorno a 0,44 dollari .
Cosa propone l'ADR-028?
ADR-028 è stato pubblicato da THORChain su GitLab con l'apertura di una votazione per gli operatori dei nodi. Il post del protocollo su X affermava che il piano di recupero avrebbe previsto che THORChain "assorbisse innanzitutto la perdita attraverso la liquidità di proprietà del protocollo", aggiungendo che il resto della perdita sarebbe stato ripartito tra i detentori di synth.
Ciò significa che la liquidità di proprietà del protocollo verrà ridotta a zero e THORChain afferma che "l'ADR propone di reindirizzare una parte delle entrate del sistema per reintegrarla nel tempo".
Il comunicato affermava che GG20 era stato corretto e aggiornato, aggiungendo che i nodi non collegati all'attaccante ma comunque interessati da esso perché situati nello stesso vault non sarebbero stati penalizzati. Proponeva inoltre di offrire all'attaccante il 10% della ricompensa per la restituzione dei fondi.
Su GitLab, un utente con questo nickname ha fornito il proprio feedback sulla proposta, sollevando due punti.
Una delle proposte prevedeva di eliminare la sezione relativa alle ricompense per la segnalazione di attacchi dall'ADR, affermando che la questione dovesse essere gestita tramite analisi forensi e forze dell'ordine. Il secondo punto proponeva un'allocazione permanente dei ricavi del sistema per audit di sicurezza esterni, revisioni da parte di soggetti avversari del livello TSS e un programma di ricompense per la segnalazione di bug finanziato, con fasi di rilascio vincolate.
"Così com'è, il piano ricostruisce la liquidità di un vault, ma non prevede ancora alcun finanziamento per prevenire il ripetersi di tali eventi", ha scritto un commentatore sul frammento di codice di GitLab. "Vale la pena di risolvere la causa insieme al bilancio."
La scia dell'attentatore
Il 16 maggio, la società di analisi blockchain Chainalysis ha pubblicato prove on-chain che collegano l'attaccante a portafogli che erano stati finanziati settimane prima del furto. L'azienda ha tracciato i movimenti dell'attaccante attraverso Monero, Hyperliquid e la stessa THORChain.
Un portafoglio ha depositato XMR tramite un bridge di privacy Hyperliquid-Monero alla fine di aprile, ha scambiato la posizione risultante con USDC, quindi ha prelevato su Arbitrum e ha effettuato un bridge verso Ethereum. Un intermediario ha poi inoltrato 8 ETH al portafoglio ricevente dell'attaccante appena 43 minuti prima dell'arrivo dei fondi rubati, secondo Chainalysis.
Cosa succederà ora a THORChain?
Il voto dell'operatore del nodo sull'ADR-028 determinerà se THORChain verrà riavviato secondo il quadro di ripristino proposto o se richiederà ulteriori revisioni.
Secondo il rapporto sull'exploit, THORChain aveva già identificato uno schema di firma più moderno chiamato DKLS come sostituto a lungo termine di GG20 e aveva incaricato Silence Labs nel novembre 2025 di realizzare un'implementazione personalizzata, con consegna prevista per il primo o il secondo trimestre del 2026.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis .