El Diario Urbano

THORChain fue hackeado por más de USD 10 millones: ZachXBT 

Written by

rb809rb

in

  • ZachXBT identificó direcciones en Ethereum y Bitcoin vinculadas al exploit.

  • THORChain es usado para lavar dinero por hackers como el Grupo Lazarus, según Arkham.

THORChain, un protocolo descentralizado de intercambio de criptomonedas, registró pérdidas estimadas en más de USD 10 millones producto de un exploit en el que un atacante robó fondos en las redes Bitcoin, Ethereum, BNB Chain y Base, según una alerta emitida por el investigador on chain ZachXBT. El vector de ataque aún no fue identificado.

Tras el hackeo, el equipo de THORChain pausó todas las operaciones de intercambio, detuvo el proceso de firma de transacciones y congeló globalmente todas las cadenas conectadas al protocolo por un período de aproximadamente 12 horas y 42 minutos.

Publicación de Telegram del investigador on chain ZachXBT.
ZachXBT alertó sobre el ataque sufrido por THORChain. Fuente: Telegram.

Evidencia on chain: dos direcciones, dos cadenas

Como parte de su alerta, ZachXBT identificó dos direcciones en Ethereum vinculadas al exploit. Una de ellas (0xd477b69551f49C0519F9B18c55030676138890Bd) acumula al tiempo de esta redacción 3.174 ethers (ETH, equivalentes a USD 7,16 millones) con transacciones iniciadas 14 horas antes de la publicación de la alerta, conforme a datos de Etherscan.

Ese saldo representa aproximadamente el 70% de los USD 10 millones estimados por ZachXBT, solo en Ethereum.

Datos de una dirección del ecosistema Ethereum.
Dirección en Ethereum detectada por ZachXBT como perteneciente al atacante de THORChain. Fuente: etherscan.

En la red Bitcoin, la dirección bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37 recibió 36,85 BTC (aproximadamente USD 3,3 millones) horas antes de la alerta de ZachXBT mediante la consolidación de fondos provenientes de múltiples direcciones, según btcscan.

Datos de una transacción en Bitcoin.
Transacción del 15 de mayo en la que fondos de múltiples direcciones se agrupan en la dirección indicada por ZachXBT. Fuente: btcscan.

Menos de dos horas después, esos fondos fueron redistribuidos hacia dos nuevas direcciones: 0,1 BTC a una y 36,75 BTC a otra. El patrón de consolidación seguida de dispersión inmediata es consistente con el movimiento inicial de fondos sustraídos, aunque su vínculo directo con el exploit no ha sido confirmado oficialmente.

Datos de una operación en la red Bitcoin.
Transacción del 15 de mayo a las 06:43 GMT-3, en la que esos 36,85 BTC salen de esa dirección hacia dos destinos distintos. Fuente: btc.scan.

La ruta favorita de Lazarus, ahora explotada

Como lo reportó CriptoNoticias, un informe de la firma de análisis on chain Arkham identificó a THORChain como la principal herramienta de lavado del Grupo Lazarus, la organización de hackers asociada a Corea del Norte responsable de más del 70% de los exploits en criptomonedas registrados en 2026.

Conforme a ese reporte, tras el robo de USD 1.500 millones a Bybit en febrero de 2025, unos USD 1.200 millones en ETH fueron convertidos a bitcoin a través de THORChain. En abril de 2026, entre USD 80 y USD 175 millones del exploit a KelpDAO siguieron la misma ruta.

En ambos casos, THORChain se negó a pausar o censurar las transacciones, amparándose en su diseño descentralizado y sin permisos. Esa postura cambió en cuanto el exploit afectó al propio protocolo: el cierre de emergencia ejecutado tras la alerta de ZachXBT es la primera vez que THORChain interrumpe sus operaciones por un ataque directo. Las pérdidas definitivas y el vector de ataque no habían sido confirmados oficialmente por THORChain al momento de la publicación.

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts