Il 16 maggio THORChain ha rilasciato una dichiarazione su X, chiedendo agli utenti di ignorare le informazioni relative a un programma di recupero avviato in seguito all'attacco che ha causato la perdita di circa 10 milioni di dollari in criptovalute.
Nello stesso giorno in cui THORChain sta chiarendo la situazione riguardo alla disinformazione in circolazione, la società di analisi blockchain Chainalysis ha pubblicato prove on-chain che collegano gli hacker a portafogli che erano stati finanziati settimane prima che il furto venisse eseguito.
THORChain ha scritto : "Siamo venuti a conoscenza di numerosi account falsi e di informazioni errate che circolano in merito a 'rimborsi', 'airdrop', richieste di risarcimento e altre presunte iniziative".
L'exchange decentralizzato focalizzato su Bitcoin ha dichiarato che, in base alle prime indagini, nessun fondo degli utenti è andato perso a seguito dell'attacco. Ha inoltre affermato di non aver attualmente avviato alcun programma di rimborso, airdrop o compensazione.
L'azienda ha invitato gli utenti a ignorare qualsiasi account che affermi il contrario o che si spacci per THORChain.
La truffa da 10 milioni di dollari che ha scosso ThorChain
La società di sicurezza PeckShield ha stimato che i fondi rubati a ThorChain ammontino a circa 10 milioni di dollari, inclusi 36,75 BTC (circa 3 milioni di dollari) e circa 7 milioni di dollari in asset provenienti da Ethereum, BNB Chain e Base. I Bitcoin sono stati trasferiti in un unico portafoglio, mentre oltre 3.156 ETH sono finiti in un indirizzo separato tracciato da Arkham Intelligence, secondo quanto riportato in precedenza da Cryptopolitan.
Il 15 maggio, THORChain ha dichiarato che "le prove attuali indicano un nodo appena creato e collegato all'attacco, probabilmente gestito da un singolo malintenzionato".
L'azienda ha dichiarato di essere ancora impegnata nelle indagini sull'exploit, aggiungendo tuttavia che la sua principale ipotesi sulla causa del problema è una falla nell'implementazione del TSS GG20, che consentirebbe al materiale contenente le chiavi del vault di "diffondersi nel tempo".
La rete è attualmente in pausa dopo che più operatori di nodo hanno eseguito il comando "make pause", ma ha dichiarato di essere al lavoro su un piano di riavvio.
Finora, la piattaforma non si è impegnata a definire un piano di ripristino; tuttavia, ha dichiarato che tutte le decisioni relative al ripristino richiederanno probabilmente decisioni da parte della governance dei nodi in merito a come gestire le perdite.
Da allora, il token nativo di THORChain, RUNE , ha subito un calo di oltre il 21%, attestandosi intorno a 0,42 dollari il 16 maggio.
Chainalysis collega l'attaccante ai portafogli preconfigurati
Il 16 maggio Chainalysis ha pubblicato su X una serie di cinque articoli che descrivevano dettagliatamente le attività preparatorie svolte per settimane sulla blockchain dai wallet collegati all'attaccante. L'azienda ha affermato che i wallet collegati all'attaccante hanno trasferito fondi attraverso Monero, Hyperliquid e la stessa THORChain prima di eseguire il furto.
Alla fine di aprile, uno di questi portafogli ha depositato XMR tramite un bridge per la privacy Hyperliquid-Monero, ha scambiato la posizione risultante con USDC, ha prelevato i fondi su Arbitrum e ha effettuato il bridge verso Ethereum, ha affermato Chainalysis.
L'ETH trasferito è stato poi suddiviso in quattro rami. Un ramo era collegato direttamente al portafoglio ricevente dell'attaccante: un intermediario vi ha inoltrato 8 ETH appena 43 minuti prima dell'arrivo dei fondi rubati, secondo l'analisi della società.
I collaboratori di THORChain hanno affermato in un aggiornamento su Discord che le prove attuali indicano un nodo appena creato e collegato all'attacco, probabilmente gestito da un singolo malintenzionato. La teoria principale riguarda una vulnerabilità nello schema di firma GG20, secondo l'aggiornamento sull'incidente del protocollo pubblicato su X.
Questo exploit si aggiunge a una serie di incidenti di sicurezza nel settore DeFi avvenuti nel maggio 2026. Cryptopolitan aveva già segnalato exploit che avevano colpito Transit Finance (con una perdita di circa 1,88 milioni di dollari), Huma Finance (con una perdita di circa 101.400 dollari) e Ink Finance (con una perdita di circa 140.000 dollari) all'inizio del mese, entrambi mirati a smart contract su Polygon.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter .