El reinicio de la red THORChain se somete a votación, ya que los operadores de nodos votan sobre ADR028
THORChain ha abierto una votación de gobernanza para los operadores de nodos en su camino hacia la reanudación de las operaciones tras el ataque del 15 de mayo que sustrajo aproximadamente 10,7 millones de dólares de una sola bóveda.
La propuesta, denominada ADR-028, detalla cómo la red absorbería las pérdidas y reanudaría sus operaciones.
¿Qué vulnerabilidades dieron lugar al ataque a THORChain?
Según los informes, un atacante malicioso se unió a la red como operador de nodo dos días antes del ataque. Posteriormente, explotó una vulnerabilidad en el esquema de firma umbral (TSS) GG20 de THORChain, un sistema criptográfico que distribuye el control de la clave de la bóveda entre múltiples nodos independientes,dent modo que ningún operador individual posee la clave privada completa.
Solo una de cada cinco bóvedas se vio afectada, y la empresa de seguridad PeckShieldAlert estimó el botín en aproximadamente 10 millones de dólares, que se repartieron entre 36,75 BTC (unos 3 millones de dólares en ese momento) y aproximadamente 7 millones de dólares en activos en Ethereum, BNB Chain y Base. El análisis posterior aldent realizado por THORChain situó la cifra en 10,7 millones de dólares.
El protocolo indicaba que el ataque se detectó en cuestión de minutos y que se activaron interrupciones en las operaciones a nivel de cadena, con pausas manuales en las apuestas de los operadores de nodos a través de su sistema de gobernanza, lo que provocó el bloqueo total de la red aproximadamente dos horas después de la alarma.
RUNE, el token nativo de THORChain, cayó más del 21% en los días posteriores a la filtración. Actualmente se cotiza en torno a los 0,44 dólares, según datos de CoinMarketCap.
¿Qué propone el ADR-028?
THORChain publicó el ADR-028 en GitLab , abriendo una votación para los operadores de nodos. En la publicación del protocolo en X, se indicó que el plan de recuperación contemplaba que THORChain "absorbiera primero la pérdida a través de la liquidez propiedad del protocolo", y que el resto de la pérdida se repartiría entre los poseedores de synth.
Esto significa que la liquidez propiedad del protocolo se reducirá a cero, y THORChain afirma que "el ADR propone redirigir una parte de los ingresos del sistema para reponerla con el tiempo"
Se indicó que GG20 había sido parcheado y actualizado, y se añadió que los nodos que no estuvieran vinculados al atacante, pero que se vieran afectados por él al estar en la misma bóveda, no sufrirían recortes. Asimismo, se propuso ofrecer al atacante el 10 % de la recompensa por la devolución de los fondos.
En GitLab, un usuario que comentaba con el nombre de usuario [nombre de usuario] dio su opinión sobre la propuesta, planteando dos puntos.
Una de las propuestas consistía en eliminar la sección de recompensas para atacantes del ADR, argumentando que debía gestionarse mediante análisis forenses y la aplicación de la ley. La segunda proponía una asignación permanente de los ingresos del sistema para auditorías de seguridad externas, análisis adversarios de la capa TSS y un programa financiado de recompensas por detección de errores con restricciones de lanzamiento.
«Tal como está redactado, el plan restablece la liquidez de una bóveda, pero aún no contempla financiación para prevenir futuras reincidencias», escribió el comentarista en el fragmento de GitLab. «Vale la pena solucionar la causa junto con el balance»
El rastro del atacante
La firma de análisis de blockchain Chainalysis publicó el 16 de mayo evidencia en la cadena de bloques que vinculaba al atacante con billeteras que habían sido financiadas semanas antes del robo. La firma traclos movimientos del atacante a través de Monero, Hyperliquid y la propia THORChain.
Una billetera depositó XMR a través de un puente de privacidad Hyperliquid-Monero a finales de abril, intercambió la posición resultante por USDC, luego retiró los fondos a Arbitrum y los transfirió a Ethereum. Un intermediario envió entonces 8 ETH a la billetera receptora del atacante tan solo 43 minutos antes de que llegaran los fondos robados, según Chainalysis.
¿Qué sucederá ahora con THORChain?
El voto del operador del nodo sobre el ADR-028 determinará si THORChain se reinicia bajo el marco de recuperación propuesto o si requiere revisiones adicionales.
Según el informe de la vulnerabilidad, THORChain ya habíadentun esquema de firma más moderno llamado DKLS como su reemplazo a largo plazo para GG20 y había contratado a Silence Labs en noviembre de 2025 para crear una implementación personalizada, con la entrega prevista para el primer o segundo trimestre de 2026.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.
Artículos Recomendados
