THORChain advierte sobre estafas de reembolso falsas tras informes de hackeo de $10 millones

THORChain está luchando en dos batallas simultáneamente. Está investigando un exploit de $10 millones y ahora advierte a su comunidad sobre una ola de estafas que explotan el caos. El 16 de mayo de 2026, THORChain emitió una urgente advertencia pública. Después de que múltiples cuentas falsas comenzaran a circular información errónea sobre «reembolsos», «airdrops» y programas de compensación relacionados con el hackeo. El protocolo fue claro.

Actualización del incidente de THORChain #2
Nos hemos dado cuenta de múltiples cuentas falsas y de información errónea que circula sobre «reembolsos», «airdrops», reclamaciones de compensación y otras supuestas iniciativas.

Para ser absolutamente claros:
– Las primeras conclusiones indican que no se vieron afectados fondos de usuarios…

— THORChain (@THORChain) 16 de mayo de 2026

Las noticias sobre hackeos de criptomonedas esta semana tienen un peligroso segundo capítulo. Caer en la estafa podría costar a las víctimas más que el exploit original.

Qué sucedió realmente con THORChain

El ataque ocurrió el 15 de mayo, apuntando a uno de los seis cofres Asgard de THORChain en Bitcoin, Ethereum, BNB Chain y Base simultáneamente. El investigador de blockchain ZachXBT fue el primero en identificar y cuantificar las pérdidas en $10.7 millones, aproximadamente 36.75 BTC. Incluyendo $7 millones en tokens EVM enrutados a través de cuatro cadenas.

Actualización del incidente de THORChain #1
Los colaboradores de THORChain compartieron una nueva actualización en el discord de desarrolladores sobre el incidente en curso.

TLDR
– La evidencia actual apunta a un nodo recién creado vinculado al ataque, probablemente operado por un único actor malicioso

– La teoría principal es un…

— THORChain (@THORChain) 15 de mayo de 2026

La actualización de THORChain reveló la causa raíz técnica. Un nodo recién creado: thor16…n84q, que ingresó a la red varios días antes del ataque se cree que está directamente asociado con el exploit. La teoría principal es un ataque a la implementación del Esquema de Firma de Umbral GG20. Esto permitió que el material de clave del cofre se filtrara gradualmente con el tiempo. Al acumular suficiente información filtrada, el atacante reconstruyó la clave privada del cofre y ejecutó transacciones salientes no autorizadas.

El sistema de detección automatizado de la red marcó el comportamiento inusual y detuvo la actividad de firma. Esto previno transacciones salientes adicionales y limitó el daño a un solo cofre. Las indicaciones iniciales confirman que no se vieron afectados los fondos de intercambio de usuarios individuales. Solo se vio afectada la liquidez de propiedad del protocolo.

Llega la ola de estafas

Dentro de unas horas de que el exploit se hiciera público, actores maliciosos lanzaron campañas de suplantación coordinadas. Aparecieron sitios web falsos, incluyendo uno que imitaba un «Portal de Recuperación de Activos y Revocación de Aprobaciones» de THORChain. Estos prometían reembolsos respaldados por el tesoro para las billeteras afectadas. Estos sitios solicitan conexiones de billetera y firmas, el mecanismo exacto necesario para drenar fondos de cualquiera que se conecte.

La advertencia oficial de THORChain es directa y debe ser tratada como la única fuente autorizada. La investigación está en curso junto con THORSec y Outrider Analytics. Las discusiones sobre la recuperación están considerando activamente múltiples enfoques: reducir los bonos de nodos afectados, usar la Liquidez de Propiedad del Protocolo para absorber pérdidas, o propuestas impulsadas por la comunidad. No se han tomado decisiones finales.

Qué significa esto para inversores y desarrolladores

Para los usuarios de THORChain, la guía de seguridad es sencilla. Depender exclusivamente de la cuenta oficial de THORChain para actualizaciones. Además, no conectar billeteras a ningún sitio que afirme ofrecer reembolsos o revocaciones de aprobación relacionadas con este incidente.

Para los desarrolladores de DeFi, la vulnerabilidad del GG20 TSS es el aspecto técnico que requiere atención. Los esquemas de firma de umbral se utilizan ampliamente en la infraestructura de múltiples cadenas. Una vulnerabilidad que permite que el material de clave se filtre gradualmente. En lugar de a través de un solo ataque. Representa una clase de riesgo que requiere monitoreo activo, rotación regular de claves y rigurosa verificación de nodos antes de ser creados.

El mecanismo de pausa automatizado de THORChain funcionó. Los estafadores que operan en las secuelas son la próxima amenaza contra la que defenderse.