V12 dice que THORChain solucionó silenciosamente su error crítico y luego les dijo a los investigadores que la recompensa está "retirada permanentemente"

Una startup de seguridad dijo que tiene la intención de publicar públicamente un código de explotación para vulnerabilidades no parcheadas de THORChain en los próximos días, después de que el protocolo entre cadenas parcheara un error crítico anterior que la empresa había revelado sin acreditarlo ni pagarlo.

V12, una startup que construye una herramienta automatizada de auditoría de código y recientemente publicó exploits del kernel de Linux, dijo en una publicación en X que informó un error de "pérdida crítica de fondos" a THORChain, que el protocolo "lo parchó silenciosamente" y que un representante de THORChain le dijo a la empresa que su programa de recompensas por errores está retirado permanentemente. V12 dijo que tiene vulnerabilidades de denegación de servicio de "detención de cadena" adicionales de THORChain que planea revelar abiertamente, y publicó un repositorio de código de prueba de concepto.

Error de falsificación del proponente

La divulgación llega aproximadamente tres semanas después de que THORChain, un protocolo de liquidez entre cadenas con alrededor de $30 millones en valor total bloqueado, perdiera aproximadamente $10,7 millones de una de sus seis bóvedas de Asgard el 15 de mayo. Los investigadores de seguridad, incluido Blockaid y el investigador en cadena ZachXBT, atribuyeron ese exploit a un error de falsificación del proponente en el sistema de certificación Bifrost de THORChain, la misma clase de falla en la que se escribió el código de THORChain el 6 de mayo. para arreglar.

Ese parche, titulado "firmar el contenedor ObservedTx completo para evitar la falsificación del proponente", nunca se implementó; Los investigadores dijeron que falló en el proceso de implementación y prueba automatizada del protocolo antes del ataque. RUNE cayó hasta un 15% el día del exploit y ahora cotiza cerca de 0,49 dólares, aproximadamente un 87% menos que el año pasado, según datos de DefiLlama y CoinGecko.

THORChain ha sido pirateado repetidamente desde 2021 y procesó la mayor parte del blanqueo en el hackeo de Bybit de 1.400 millones de dólares.

Lo que V12 dice que encontró

V12 dijo que se acercó a THORChain el 28 de abril para "revelar responsablemente" lo que llamó una probable vulnerabilidad crítica, compartiendo un archivo de parche, un script de prueba de concepto y un informe, según capturas de pantalla de mensajes que publicó la empresa.

En esos mensajes, V12 describió una falla en la que un único validador malicioso que actúa como proponente del bloque CometBFT puede "evitar todos los requisitos de confirmación" falsificando datos de finalidad no firmados en transacciones honestamente certificadas, lo que hace que THORChain libere fondos salientes antes de que se confirme un depósito de origen. La firma dijo que el problema afectó a todas las cadenas externas integradas con THORChain y que cualquier validador activo podía explotarlo durante su rotación normal de proponentes.

Cuando V12 hizo un seguimiento sobre un pago, un contacto de THORChain respondió que "no tenían conocimiento de ninguna recompensa por errores ejecutada en este momento por THORChain" y dijo que el equipo había detenido el programa "hace mucho tiempo", según las capturas de pantalla. V12 preguntó entonces si no se pagaba ni siquiera por errores críticos.

La identidad del contacto fue ocultada en las imágenes. La cuenta de V12 se basa en mensajes que él mismo publicó, presentando un lado del intercambio; THORChain no ha confirmado su autenticidad ni la existencia del error revelado.

Un parche que nunca se envió

Los desarrolladores de THORChain crearon una solución para un error de falsificación del proponente el 6 de mayo, nueve días antes del exploit del 15 de mayo, según el historial de confirmaciones de THORNode. El análisis del ataque realizado por Blockaid encontró que las firmas del validador no cubrían el campo entrante o saliente de una transacción, lo que permitía al proponente convertir una observación entrante real en un pago saliente a direcciones controladas por el atacante. Los investigadores dijeron que el parche del 6 de mayo abordó ese comportamiento exacto, pero falló en el proceso de integración continua del protocolo y no se implementó a tiempo para los validadores.

El error V12 que se dice que se reveló el 28 de abril se describe en términos casi idénticos tanto al parche como a la falla a la que los investigadores culpan por el exploit.

THORChain no ha publicado una autopsia completa ni ha confirmado que el error revelado y el error explotado sean los mismos, y V12 no afirmó explícitamente en su publicación que el atacante del 15 de mayo utilizó sus hallazgos. Blockaid y ZachXBT han dicho que creen que el atacante del 15 de mayo es el mismo actor detrás del ataque Fusion V1 de 1 pulgada de marzo de 2025.

Las defensas automatizadas de THORChain contuvieron el incidente del 15 de mayo: los operadores de nodos provocaron una parada en toda la red, congelando el comercio, la firma y la rotación de validadores durante aproximadamente 13 horas, y el equipo dijo que ningún intercambio de usuarios individuales se vio afectado. El protocolo reveló la pérdida a través de Discord y X, como se cubre en el informe de The Defiant sobre el compromiso de la bóveda de Asgard.

El vínculo entre el informe de V12 y el exploit del 15 de mayo, si bien es consistente en la descripción de la empresa, el compromiso del parche y el análisis forense de terceros, no ha sido confirmado por THORChain ni declarado directamente por V12.

Un programa de recompensas en retirada

THORChain lanzó una recompensa por errores de 500.000 dólares en Immunefi en 2021 después de una serie de exploits. Más tarde abandonó esa plataforma en medio de una controversia y pasó a un programa autohospedado que, según los investigadores, se retiró en marzo de 2026, dos meses antes del exploit de mayo. En noviembre de 2024, el investigador Luke Parker acusó públicamente al protocolo de retirar su programa Immunefi después de la plataforma.