THORChain confirma un ataque a una bóveda Asgard con pérdidas de aproximadamente 10.7 millones de dólares

15 may 2026

THORChain confirma un ataque a una bóveda Asgard con pérdidas de aproximadamente 10.7 millones de dólares

El 15 de mayo de 2026, THORChain confirmó que una de sus bóvedas Asgard fue comprometida, lo que resultó en una pérdida estimada de unos 10.7 millones de dólares y la suspensión temporal de la actividad de trading mientras el equipo y los operadores de nodos investigan y despliegan medidas correctivas. Las actualizaciones públicas indican que los fondos de los usuarios no fueron la principal fuente de la pérdida; en cambio, la evidencia inicial apunta a que fueron afectados fondos propiedad del protocolo, con mecanismos de seguridad automatizados que limitaron daños mayores. Puedes seguir la cobertura general a través de informes de Cointelegraph y The Block, junto con informes centrados en el incidente de The Defiant.

Este evento trasciende un único protocolo: THORChain se encuentra en la intersección de la liquidez entre cadenas, la seguridad operada por validadores y la infraestructura de bóvedas de alto valor, un espacio de diseño que continúa atrayendo tanto innovación como ataques sofisticados.

¿Qué sucedió (cronología general)?

Basándonos en las propias comunicaciones del incidente de THORChain y el monitoreo de la comunidad, los puntos clave son:

  • Una única bóveda Asgard mostró signos de compromiso, y la red actuó rápidamente en una postura defensiva deteniendo el trading y la firma de transacciones salientes para reducir el riesgo de movimientos continuos de fondos. Los informes indican que se sospechaba que 1 de cada 6 bóvedas Asgard estaba afectada. Consulte la cobertura resumida por The Defiant y la cobertura general del mercado de Cointelegraph.
  • Se activaron controles automatizados de detección y detención. La arquitectura de THORChain admite detenciones a nivel de red y de cadena a través de parámetros de gobernanza y seguridad, diseñados para detener la actividad saliente cuando se alcanzan los umbrales de riesgo (documentación: Network Halts).
  • Se activó el slashing para los nodos involucrados debido a transferencias consideradas no autorizadas por las reglas del protocolo, reforzando la promesa de seguridad principal de THORChain: los operadores de nodos arriesgan capital (RUNE en staking) si se comportan mal. Las mecánicas de slashing de THORChain se describen en su documentación técnica sobre el comportamiento de las bóvedas (ver Vault Behaviors).

En el momento de redactar este informe (15 de mayo de 2026), las investigaciones están en curso y los detalles pueden evolucionar. Si dependes de THORChain para swaps o provisión de liquidez, considera esto como un incidente activo y sigue las actualizaciones oficiales de estado.

Por qué un incidente en una bóveda Asgard es un gran problema

THORChain se entiende mejor como una red de bóvedas y liquidación entre cadenas. En lugar de envolver activos o depender de una clave de custodio única, THORChain utiliza bóvedas de Esquema de Firma Umbral (TSS) operadas por un conjunto rotatorio de validadores. Este diseño está documentado en las explicaciones de la arquitectura de THORChain, incluyendo Bifrost, TSS and Vaults y detalles sobre cómo las bóvedas se fragmentan y gestionan con el tiempo en Vault Behaviors.

Las bóvedas Asgard son centrales porque almacenan la liquidez utilizada para ejecutar swaps entre cadenas. Cuando algo sale mal en la capa de bóveda, el radio de explosión puede abarcar múltiples cadenas, exactamente el tipo de "área de superficie multialtérica" que prefieren los atacantes.

Los disyuntores integrados que ayudaron a contener el daño

Una de las conclusiones más importantes no es solo que ocurrió una explotación, sino que la red reaccionó deteniendo la actividad saliente.

THORChain admite explícitamente mecanismos para detener la firma y las transferencias salientes bajo condiciones definidas, incluyendo cuando los eventos de slashing superan los umbrales configurados. La intención es clara: cuando la red detecta un comportamiento que parece ser el de movimiento incorrecto de fondos, debería fallar de forma segura en lugar de fallar abierta. THORChain describe estos controles en su documentación para desarrolladores sobre Network Halts y su modelo de seguridad más amplio en Network Security and Governance.

Desde la perspectiva de la seguridad de DeFi, estos disyuntores son importantes porque los sistemas entre cadenas no tienen el lujo de "revertir" una cadena. Tus mejores defensas suelen ser:

  • detección rápida de anomalías,
  • la capacidad de pausar rutas más arriesgadas (liquidación saliente),
  • y incentivos claros y preacordados que castigan a los operadores maliciosos o negligentes.

Fondos de usuarios versus fondos propiedad del protocolo: cómo interpretar la distinción

Las declaraciones iniciales de THORChain y los primeros informes sugieren que el valor afectado era propiedad del protocolo, mientras que los flujos de swaps de usuarios habituales no se vieron afectados de manera generalizada. Esta es una distinción significativa, pero los usuarios deben interpretarla con cuidado:

  • En los protocolos entre cadenas, "los fondos de los usuarios están seguros" a menudo significa que los saldos de los usuarios no fueron drenados directamente de billeteras personales, y el sistema cree que la asignación afectada de la bóveda no se originó principalmente en transferencias iniciadas por el usuario.
  • Sin embargo, incluso cuando la pérdida se clasifica como propiedad del protocolo, un incidente aún puede crear riesgos secundarios para los usuarios a través de tiempo de inactividad, liquidaciones retrasadas, interrupciones de enrutamiento o un impacto más amplio en el mercado.

Si iniciaste un swap cerca de la ventana de detención, tu prioridad debe ser verificar la finalidad en la cadena de origen y comprobar si la parte saliente se completó, especialmente en escenarios de enrutamiento multialtérico.

Por qué se detuvo el churn y qué indica operativamente

THORChain utiliza un proceso llamado churn para rotar los conjuntos de validadores y la membresía de las bóvedas. En condiciones normales, el churn mejora la seguridad con el tiempo al limitar cuánto tiempo un grupo fijo controla el poder de firma. La documentación de operaciones de nodos de THORChain describe la cadencia normal del churn y los conceptos del ciclo de vida del validador (ver Node Operations).

Durante un incidente, pausar el churn es una medida racional porque:

  • el churn cambia la membresía de la bóveda y la dinámica de firma,
  • puede complicar el análisis forense,
  • y aumenta la carga operativa en el peor momento posible.

En resumen: estabilidad primero, luego recuperación.

El ángulo de la responsabilidad del validador: el bonding y el slashing siguen importando

La seguridad entre cadenas depende en última instancia del coste de atacar el sistema. El modelo de THORChain se basa en que los nodos hagan bonding de RUNE y luego enfrenten penalizaciones si firman o permiten transferencias inválidas.

Si el slashing se aplica correctamente, cumple dos propósitos:

  1. Ayuda a disuadir el comportamiento malicioso al encarecer los ataques.
  2. Reduce el riesgo moral al castigar la seguridad operativa deficiente (por ejemplo, infraestructura comprometida o prácticas inseguras de gestión de claves).

THORChain documenta la relación entre el comportamiento de la bóveda y el slashing en Vault Behaviors, y describe las suposiciones de seguridad e incentivos de la red en Network Security and Governance.

Por qué esto encaja en una tendencia más amplia de 2025-2026: el "impuesto de seguridad" a la liquidez entre cadenas

Incluso mientras la experiencia de usuario entre cadenas mejora, la industria sigue pagando un creciente "impuesto de seguridad". Paneles de datos como la base de datos de hacks de DeFiLlama hacen que el patrón sea difícil de ignorar: los atacantes se concentran en sistemas donde una única debilidad puede desbloquear valor a través de cadenas.

Esta es también la razón por la que las narrativas posteriores a los incidentes tienden a centrarse en:

  • gestión de claves y seguridad operativa,
  • aplicación de políticas de firma,
  • riesgo de dependencia en pilas complejas entre cadenas,
  • y si los desencadenantes de monitoreo y detención se calibraron correctamente.

Para un contexto histórico sobre meses de grandes pérdidas, informes como los resúmenes de pérdidas de la industria de Immunefi ayudan a enmarcar cuán rápido puede escalar el riesgo (ver informe de Immunefi: Crypto Losses February 2025).

Guía práctica para usuarios en este momento

Mientras THORChain y los operadores de nodos trabajan en la investigación y las correcciones, considere lo siguiente:

  1. Evite transacciones apresuradas durante interrupciones parciales Si el trading o la firma están pausados, las interfaces de usuario pueden mostrar estados inconsistentes. Espere una confirmación clara de que la actividad saliente se ha reanudado.
  2. Verifique los resultados en la cadena, no solo en la interfaz de usuario Para cualquier swap entre cadenas, confirme la transacción de la cadena de origen y el recibo de la cadena de destino de forma independiente.
  3. Trate los mensajes de "soporte de recuperación" como hostiles por defecto Después de las explotaciones, los intentos de phishing aumentan. No conecte billeteras a sitios de "reembolso" desconocidos ni firme mensajes arbitrarios.
  4. Vuelva a verificar las autorizaciones y permisos (usuarios de EVM) Si ha utilizado routers o contratos inteligentes recientemente, revise las aprobaciones de tokens y revoque cualquier cosa innecesaria utilizando herramientas reputadas.

Dónde encaja una billetera de hardware como OneKey en esta conversación

Este incidente parece tener sus raíces en las operaciones de protocolo de bóveda/seguridad, no en el compromiso de la clave privada del usuario final. Aun así, refuerza una regla atemporal: los usuarios deben controlar las claves con seguridad, offline y robusta, especialmente al interactuar con aplicaciones DeFi y entre cadenas donde la complejidad de las transacciones es alta.

Una billetera de hardware como OneKey puede ayudar manteniendo sus claves privadas aisladas de dispositivos potencialmente comprometidos y proporcionándole un flujo de firma más claro y deliberado para acciones de alto riesgo (aprobaciones, interacciones con contratos y transferencias grandes). En ventanas de incidentes volátiles, cuando los estafadores están activos y los estados de la interfaz de usuario pueden ser confusos, una firma más lenta y basada en la verificación es una característica, no un error.

A medida que THORChain publique hallazgos técnicos más profundos y detalles de remediación, las señales más importantes a observar serán: la causa raíz confirmada, si la solución reduce la superficie de ataque sistémica y qué tan efectivamente el slashing y los requisitos operativos alinean los incentivos para la seguridad del nodo en el futuro.

Asegura tu viaje cripto con OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

La cartera de hardware más avanzada del mundo.

View details for Descargar aplicaciónDescargar aplicación

Descargar aplicación

Alertas de estafa. Todas las monedas soportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Claridad cripto — a una llamada de distancia.