ThorChain lancia un portale per rimborsi dopo l’hack da 10 milioni di dollari

THORChain ha confermato un attacco che ha sottratto circa 10 milioni di dollari e ha lanciato un portale di recupero che consente agli utenti coinvolti di revocare autonomamente autorizzazioni di token malevoli e di presentare richieste di rimborso sostenute da un fondo di risarcimento pari all’importo rubato.

THORChain Foundation ha annunciato:

“Gli utenti coinvolti possono ora verificare quale rimborso riceveranno in seguito all’exploit.”

Secondo il portale, che cita l’analisi post-mortem di PeckShield, l’attacco è stato rilevato alle 02:14 UTC dell’11 maggio, quando gli operatori dei nodi hanno segnalato transazioni in uscita anomale. Le attività di trading e la firma delle transazioni in uscita sono state sospese entro otto minuti dalla rilevazione.

I malintenzionati hanno prelevato in totale 36.75 BTC, pari a circa 3 milioni di dollari, e approssimativamente 7 milioni di dollari in token distribuiti su BNB Chain, Ethereum e Base, coinvolgendo 12.847 wallet su quattro catene.

Gli utenti interessati hanno 21 giorni per inoltrare le richieste di rimborso: la finestra si chiude il 4 giugno, dopodiché le allocazioni non reclamate verranno trasferite al fondo assicurativo del protocollo.

Come è avvenuto l’attacco

Nel rapporto di aggiornamento THORChain indica come teoria principale l’abuso di una vulnerabilità nell’implementazione dello schema di firme threshold GG20 (TSS). La falla avrebbe permesso la fuoriuscita graduale di materiale crittografico sensibile, che accumulato nel tempo ha consentito all’attaccante di ricostruire la chiave privata del vault e autorizzare transazioni non autorizzate in uscita.

Il protocollo segnala inoltre che un nodo recentemente introdotto nella rete alcuni giorni prima dell’attacco è attualmente ritenuto connesso all’intrusione: sono stati individuati legami on‑chain tra gli indirizzi di bonding di quel nodo e i wallet destinatari dei fondi sottratti.

THORChain ha dichiarato:

“Il Tesoro sta raccogliendo attivamente dati forensi e coordinandosi con Outrider Analytics e le autorità competenti nel tentativo di identificare l’autore dell’attacco e perseguire il recupero dei fondi sottratti ove possibile.”

Contesto del settore e trend degli attacchi

Il caso si inserisce in un quadro più ampio di aumento degli attacchi informatici al settore crypto: in aprile le perdite totali per exploit hanno raggiunto 629,7 milioni di dollari, risultato che segnala una pressione crescente sugli operatori della finanza decentralizzata.

Due grandi exploit — quello da 293 milioni di dollari su KelpDAO e il colpo da 280 milioni su Drift Protocol — hanno rappresentato insieme circa l’82% delle perdite mensili, confermando DeFi come il settore maggiormente preso di mira. Gli attacchi mostrano un’evoluzione delle tecniche: sempre più spesso la compromissione deriva da ponti cross‑chain, accessi privilegiati o errori operativi piuttosto che da semplici bug nei contratti intelligenti.

Questa tendenza mette in luce la vulnerabilità intrinseca delle soluzioni che gestiscono chiavi distribuite o che richiedono fiducia nella corretta gestione dei nodi. Per i protocolli cross‑chain, la sicurezza delle meccaniche di consenso e della governance dei nodi è ora tanto critica quanto l’auditing del codice smart contract.

Rilevanza per utenti e investitori

La scelta di finanziare i rimborsi con risorse del tesoro protocollo può ridurre l’impatto immediato sugli utenti finali, ma erode le riserve e può influire sulla percezione del rischio da parte degli investitori. Per gli operatori italiani che considerano allocazioni in progetti cross‑chain, l’evento sottolinea l’importanza di valutare oltre al codice anche la resilienza operativa e i piani di risposta agli incidenti.

Infine, la cooperazione con società forensi e forze dell’ordine indica una crescente professionalizzazione nelle indagini post‑hack, elemento che potrebbe facilitare il recupero parziale dei fondi e avere ricadute positive sulle pratiche di compliance nel settore.

In sintesi

• L’evento evidenzia come le vulnerabilità operative e le implementazioni di TSS rappresentino un rischio sistemico per i protocolli cross‑chain, suggerendo una maggiore domanda di audit specializzati e servizi di assicurazione specifici per il mercato italiano.
• Il finanziamento dei rimborsi tramite il tesoro del protocollo può stabilizzare temporaneamente la fiducia degli utenti, ma riduce le riserve disponibili per sviluppo e può rendere il token meno attraente per gli investitori istituzionali attenti al rischio di diluizione o di diminuzione del valore intrinseco.
• Per gli investitori retail e professionali in Italia è cruciale integrare analisi sulla governance dei nodi e sui piani di incident response nella due diligence, oltre al controllo del codice smart contract.
• L’aumento degli attacchi operativi potrebbe accelerare l’adozione di standard regolamentari e pratiche di sicurezza europee, aprendo opportunità per servizi di compliance, forensics e coperture assicurative dedicate al settore crypto.