THORSwap ofrece una recompensa relacionada con el exploit de más de 1 millón de dólares a la wallet del fundador de THORChain: analistas onchain

El agregador DEX de THORChain, THORSwap, ha realizado una serie de ofertas de recompensa repetidas al explotador de la billetera personal de un usuario en los últimos días. Según ZachXBT, la víctima probablemente sea el fundador de THORChain, John-Paul Thorbjornsen.

La última comunicación onchain al hacker, publicada el viernes por la mañana, dice: "Oferta de recompensa: Devuelve $THOR para recibir una recompensa. Contactá a contact @ thorswap.finance o al Discord de THORSwap para un acuerdo OTC. No se tomarán acciones legales si se devuelve dentro de las 72 horas."

La empresa de seguridad blockchain PeckShield señaló los mensajes en X, sugiriendo inicialmente que el propio protocolo de THORChain había sufrido una explotación de alrededor de 1.2 millones de dólares. Sin embargo, esa publicación fue corregida posteriormente para confirmar que fue la billetera personal de un usuario la que fue explotada, tras la aclaración del equipo de THORChain. "Este incidente involucró la explotación de la billetera personal de un usuario y no está relacionado con THORChain", dijo el proyecto. "Esto es solo una recompensa solicitando la devolución de los activos robados. Ningún protocolo (ni thorchain ni thorswap) fue explotado." agregó el CEO de THORSwap, "Paper X".

El fundador de THORChain probablemente sea la víctima

Respondiendo a la publicación de PeckShield en X, el investigador onchain ZachXBT dijo que la billetera explotada probablemente pertenece al fundador de THORChain, John-Paul Thorbjornsen, quien sufrió el vaciado de su billetera personal por 1.35 millones de dólares a manos de hackers norcoreanos el martes.

La fuente del ataque provino de un mensaje enviado desde la cuenta de Telegram hackeada de un amigo del fundador de THORChain, que contenía un enlace falso a una reunión de Zoom, reconoció Thorbjornsen a principios de esta semana. "Bueno, este ataque finalmente se manifestó", comentó el martes. "Me vaciaron una vieja MetaMask."

Thorbjornsen dijo que la billetera MetaMask solo estaba en otro perfil de Chrome cerrado, con su clave almacenada en iCloud Keychain, pero que los atacantes probablemente accedieron a una o ambas mediante una vulnerabilidad 0-day, lo que refuerza su opinión de que las billeteras con firmas por umbral, que dividen las claves entre dispositivos, son la única protección real.

Según ZachXBT, el atacante robó aproximadamente 1.03 millones de dólares en tokens de Kyber Network y 320,000 dólares en tokens de THORSwap. La dirección utilizada para el robo envió los fondos a la misma dirección "Exploiter 6" a la que se enviaron los mensajes onchain de recompensa. La mayoría de los fondos robados, que coinciden con la cifra de 1.2 millones de dólares de PeckShield, actualmente se encuentran en una dirección que comienza con "0x7Ab", aparentemente intercambiados por ETH, señaló ZachXBT en su canal oficial de Telegram.

The Block se puso en contacto con Thorbjornsen para obtener comentarios.