THORChain sofre roubo de US$ 10,7 milhões após comprometimento de cofre

A plataforma de criptomoedas THORChain confirmou o roubo de mais de US$ 10 milhões em ativos digitais após o comprometimento de um de seus seis cofres operacionais. O ataque foi detectado na manhã de sexta-feira por firmas independentes de monitoramento on-chain, incluindo a Peckshield e o investigador conhecido como ZachXBT. Cerca de 36 BTC (aproximadamente US$ 3 milhões) e mais US$ 7 milhões em outras moedas foram drenados. A plataforma suspendeu negociações e afirma que apenas fundos próprios do protocolo foram afetados.

O que aconteceu

O incidente começou por volta das 6 da manhã (horário de Brasília -1) de sexta-feira, quando alertas automatizados de monitoramento blockchain identificaram movimentação anômala nos endereços controlados pela THORChain. A Peckshield, especializada em forense on-chain, e o investigador ZachXBT publicaram simultaneamente nas redes sociais a saída de mais de 36 bitcoins e outros US$ 7 milhões em criptoativos diversos dos cofres do protocolo.

Pouco depois, a própria THORChain confirmou o incidente em comunicado oficial. A empresa, fundada em 2018 e com sede na Suíça, suspendeu imediatamente as operações de trading e iniciou investigação interna. De acordo com os primeiros achados, um dos seis cofres operacionais foi comprometido, resultando em perda estimada de aproximadamente US$ 10,7 milhões.

A plataforma afirmou que a rede detectou automaticamente o comportamento abnormal e paralisou a atividade de assinatura, evitando saídas adicionais de fundos. Segundo a equipe, os recursos dos usuários estão preservados — o que foi comprometido seriam recursos próprios do protocolo, alocados como liquidez operacional.

Como o ataque se desenrolou

A THORChain opera como um protocolo cross-chain decentralizado que permite swaps nativos entre redes distintas — Bitcoin, Ethereum, Avalanche, Cosmos e outras — sem necessidade de wrapping. Para viabilizar essa arquitetura, o protocolo mantém múltiplos cofres (vaults) que custodiam liquidez em cada cadeia suportada. Esse modelo, embora poderoso do ponto de vista técnico, concentra valor em superfícies de ataque atrativas para grupos sofisticados.

A empresa não detalhou ainda o vetor exato do comprometimento — se houve falha na lógica de smart contract, abuso de chaves do TSS (Threshold Signature Scheme), engenharia social contra operadores de nós validadores ou exploração de bibliotecas de terceiros. Investigações em incidentes anteriores em DeFi mostraram que cada uma dessas hipóteses já foi materializada em casos reais, e a apuração técnica costuma levar dias.

“O trading na THORChain está atualmente suspenso após o comprometimento de um cofre. Indicações iniciais apontam que os fundos dos usuários estão seguros e apenas recursos próprios do protocolo foram afetados.”

Comunicado oficial da THORChain

Este não é o primeiro incidente envolvendo a THORChain. Em 2021, o protocolo já havia sofrido dois ataques distintos no mesmo intervalo de poucas semanas, com prejuízos somados que superaram US$ 12 milhões. No ano passado, um dos fundadores da empresa perdeu pessoalmente US$ 1,2 milhão em criptoativos após hackers ligados à Coreia do Norte invadirem sua conta.

Quem é afetado e quais os riscos

• Usuários ativos da THORChain — embora a empresa afirme que fundos de usuários estão seguros, swaps ficam indisponíveis até a retomada do trading
• Operadores de nós validadores que possam ter sido o vetor de comprometimento (sob investigação)
• Provedores de liquidez (LPs) que dependem do protocolo para gerar rendimento sobre ativos depositados
• Ecossistema cross-chain DeFi mais amplo, que tende a sofrer queda de confiança após incidentes em protocolos âncora
• Tokens nativos da THORChain (RUNE), historicamente expostos a quedas significativas após ataques desta magnitude

Análise

O caso da THORChain se encaixa em uma série crescente de incidentes que vêm assolando o setor de criptomoedas em 2026. Múltiplos roubos ultrapassaram a marca de US$ 200 milhões neste ano, com outros tantos provocando perdas entre US$ 26 milhões e US$ 40 milhões em ataques individuais. No mês passado, o Departamento do Tesouro dos Estados Unidos anunciou que passaria a compartilhar inteligência de ameaças cibernéticas com a indústria de cripto, em resposta ao roubo de US$ 280 milhões da plataforma Drift. Poucos dias depois, hackers supostamente norte-coreanos drenaram US$ 290 milhões de outra plataforma em ataque coordenado.

No ano passado, mais de US$ 2 bilhões foram roubados coletivamente de dezenas de plataformas de criptomoeda — e o ritmo de 2026, considerando apenas os primeiros cinco meses, sugere que esse número será superado. A perda de US$ 10,7 milhões da THORChain é, em termos puramente financeiros, modesta para os padrões do setor; mas o significado simbólico é grande, porque atinge um protocolo que se posiciona como referência em interoperabilidade nativa e resiliência descentralizada.

O fato de a rede ter detectado e paralisado a atividade automaticamente é um ponto positivo a destacar — mecanismos de circuit breaker on-chain são exatamente o tipo de defesa em profundidade que distingue protocolos maduros de experimentos amadores. Mas a recorrência de comprometimentos contra a THORChain (2021, 2021 novamente, conta de fundador em 2025 e agora 2026) sugere que o modelo arquitetural, ainda que defensável tecnicamente, segue oferecendo vetores que atacantes determinados conseguem explorar repetidamente.

Para defensores corporativos que dependem ou observam o setor cripto, o caso é um lembrete de que custódia distribuída via MPC ou TSS não elimina risco — apenas o redistribui. E que o monitoramento on-chain independente, hoje executado por firmas como Peckshield e por investigadores autônomos como ZachXBT, tem se mostrado mais rápido em detectar incidentes do que muitos times internos.

Recomendações práticas

• Operadores de protocolos DeFi devem reforçar mecanismos de circuit breaker automatizados que possam paralisar saídas anômalas antes da confirmação de muitas transações
• Implemente monitoramento on-chain de terceiros — não dependa exclusivamente de telemetria interna; firmas como Peckshield e Chainalysis costumam detectar movimentações suspeitas em minutos
• Adote multi-sig com aprovação humana fora-de-banda para operações de alto valor sobre cofres do protocolo
• Realize auditorias periódicas e contínuas (não apenas pontuais) das chaves TSS, dos nós validadores e das dependências de bibliotecas externas
• Para usuários: evite manter saldos significativos em pools de liquidez de protocolos que já sofreram múltiplos incidentes históricos
• Empresas tradicionais que mantenham exposição a criptoativos devem revisar suas políticas de custódia e priorizar provedores qualificados com seguros explícitos
• Times de threat intel corporativos devem acompanhar relatórios on-chain como sinal antecipado — campanhas norte-coreanas frequentemente migram TTPs do alvo cripto para o alvo corporativo

Fonte: The Record