THORChain fue víctima de un exploit multichain el 15 de mayo de 2026, en el que aproximadamente 11 millones de dólares fueron drenados desde los vaults Asgard mientras el protocolo realizaba una rotación rutinaria de bóvedas. El ataque afectó reservas en Bitcoin, Ethereum, Binance Smart Chain y Base, aunque según los primeros reportes no comprometió los fondos de los usuarios ni interrumpió las operaciones ya en curso. El equipo identificó la actividad sospechosa y procedió a pausar de inmediato todas las operaciones para contener el incidente, limitando así el alcance de la vulnerabilidad. El método de ataque se basó en una manipulación del esquema de firmas umbral GG20, presuntamente facilitada por un nodo validador malicioso que aprovechó debilidades en el proceso de churn de vaults.
El nuevo incidente reabre cuestionamientos sobre las superficies de ataque vinculadas al diseño del protocolo y pone en duda la robustez de los mecanismos de resguardo multichain que son la base de muchos servicios de finanzas descentralizadas (DeFi). Como resultado inmediato, RUNE —el token nativo de THORChain— registró una caída de entre 12% y 15%, ubicándose cerca de los 0,50 dólares tras la noticia, mientras la confianza en la seguridad del protocolo quedó bajo escrutinio intenso por parte del ecosistema cripto.
Detalles técnicos y método del ataque
Según la reconstrucción de los hechos a partir de datos de Bitcoin News y Crypto Briefing, los atacantes explotaron el proceso de churn —un mecanismo estándar de THORChain mediante el cual los operadores de nodos rotan y los activos se redistribuyen utilizando firmas umbral para evitar el control centralizado—. En esta ocasión, los perpetradores lograron introducir direcciones fraudulentas en las operaciones de vault churn, provocando que el sistema autorizara transferencias a wallets bajo su control.
El flujo del exploit fue el siguiente:
- Un nodo validador comprometido participó en el esquema GG20 para la firma colectiva de transacciones.
- Durante la rotación rutinaria de vaults, fueron insertadas direcciones “venenosas” que suplantaron los destinos legítimos de los fondos.
- Las bóvedas de Bitcoin, Ethereum, BSC y Base firmaron transacciones que drenan activos de la red, redirigiendo el total a los atacantes.
- El desvío se identificó relativamente rápido gracias a la observación on-chain de investigadores como ZachXBT, pero para ese momento los activos ya habían sido dispersados en múltiples cadenas.
Las cifras coinciden entre fuentes independientes: alrededor de 3.443 ETH (unos 7,77 millones de dólares), 36,85 BTC (2,97 millones), 96,6 BNB (66.000 dólares) y cantidades relevantes de USDT, USDC y otros tokens fueron transferidos a los wallets identificados públicamente (BingX y Bitcoin News coinciden en los montos y las direcciones rastreadas).
Respuesta del protocolo y antecedentes de seguridad
Frente al exploit, los operadores de nodos activaron el mecanismo de emergencia global, conocido como Mimir, que permite pausar intercambios, rotaciones de bóvedas y operaciones de firma a nivel de red. Esta interrupción inmediata fue fundamental para contener daños adicionales y mantener a salvo el resto de los fondos. Las transacciones con RUNE en su blockchain nativa continuaron de forma limitada, mientras que las actividades vinculadas a los activos afectados quedaron congeladas a la espera de un diagnóstico exhaustivo.
THORChain ya cuenta con una historia de enfrentamientos ante exploits significativos. Destacan casos previos en julio de 2021 (4,9 a 8 millones de dólares robados sobre el router de ETH) y una serie de incidentes relacionados con la migración de bóvedas o interacciones con entidades externas (como los incidentes vinculados al hack de Bybit y al caso KelpDAO en 2025 y 2026). Estos antecedentes indican un patrón de amenazas orientadas a puntos de rotación y distribución de custodia, a pesar de la arquitectura descentralizada y la ausencia de llaves administrativas únicas.
Consecuencias, seguimiento y prácticas de seguridad
El impacto principal tras el exploit no solo es la pérdida patrimonial inmediata sino el golpe a la confianza del mercado en los mecanismos de custodia no custodiados de THORChain y otros protocolos cross-chain. La caída abrupta de RUNE reflejó el riesgo sistémico que enfrentan plataformas que operan con vaults multichain y firmas umbral, especialmente si no se detecta a tiempo actores maliciosos entre operadores de nodos.
Mientras el equipo de THORChain trabaja en análisis de causas raíz y en reforzar controles, persisten focos de incertidumbre para usuarios e inversores:
- Los fondos robados permanecen en las direcciones identificadas, pero no han sido recuperados ni reclamados.
- La reanudación de operaciones queda supeditada a revisiones de seguridad y aceptación de la comunidad y los validadores.
- Las preguntas en torno a la gobernanza y la elección de nodos confiables obtienen mayor peso ante futuras rotaciones de custodios.
| Fecha | Cadena afectada | Cantidad sustraída (estimada) |
| 15 mayo 2026 | Ethereum | 3.443 ETH (~7,77 M USD) |
| 15 mayo 2026 | Bitcoin | 36,85 BTC (~2,97 M USD) |
| 15 mayo 2026 | BNB Chain | 96,6 BNB (~66.000 USD) |
| 15 mayo 2026 | Base | No especificado |
| 15 mayo 2026 | Estables y otros | ~798.000 USDC y diversas cantidades en USDT/otros tokens |
Implicancias para usuarios y desarrolladores de DeFi
El incidente deja en evidencia la necesidad de auditorías permanentes y la importancia de procesos de gobernanza estrictos para la rotación de nodos y bóvedas en protocolos multicadena. Aunque en esta ocasión los fondos de usuarios y las operaciones abiertas no se vieron afectados directamente, los sucesivos exploits muestran que la superficie de ataque evoluciona y que la descentralización, por sí sola, no elimina riesgos técnicos ni humanos.
Para los usuarios, la principal recomendación es no interactuar con THORChain hasta que el protocolo regularice sus operaciones y publique un análisis forense transparente, así como correcciones verificables que mitiguen riesgos similares en el futuro. En el ámbito de desarrollo, el exploit refuerza la necesidad de protocolos defensivos alrededor de las firmas umbral y la validación de participantes durante procesos críticos como vault churn.
El desenlace del caso THORChain será observado de cerca por toda la industria DeFi y sentará precedentes en la gestión de incidentes para arquitecturas cross-chain, donde la coordinación descentralizada se enfrenta a desafíos técnicos y de confianza cada vez más sofisticados.