Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 047Exploit de puente

Doble exploit del Bifrost de THORChain

$13M+ drenados de THORChain en dos ataques con una semana de diferencia, ambos explotando fallos de depósito falso en el puente Bifrost durante Chaosnet.

Fecha
Víctima
THORChain
Cadena(s)
EthereumBitcoinBNB Chain
Estado
Parcialmente recuperado

En julio de 2021, THORChain — el protocolo de liquidez cross-chain entonces operando en su fase de lanzamiento "Chaosnet" — fue explotado dos veces en una semana por una pérdida combinada de aproximadamente $13 millones. Ambos incidentes explotaron la misma clase de vulnerabilidad en su módulo puente Bifrost a Ethereum.

Qué ocurrió

El módulo Bifrost de THORChain era responsable de observar depósitos en cadenas externas (ETH, BTC, BNB, etc.) y acreditar al depositante en THORChain. El módulo contenía un bucle de override destinado a escenarios de migración de transferencia de bóveda — nunca para ser invocado bajo condiciones normales de cara al usuario.

Ataque 1 — 16 de julio (~$5M)

El atacante envolvió el contrato router de Ethereum de THORChain con su propio contrato, usó el bucle override para manipular el msg.value reportado a Bifrost, y disparó al módulo para que registrara un depósito de 200 ETH cuando se habían enviado cero ETH realmente. Luego retiraron el crédito sintético como ETH real desde los pools de THORChain.

Las estimaciones iniciales de pérdida llegaron a $24M (13.000 ETH) antes de ser progresivamente revisadas a la baja hasta aproximadamente $4,9M después de que la contabilidad on-chain reconstruyera el valor real extraído.

Ataque 2 — 23 de julio (~$8M)

Un atacante separado — probablemente un operador independiente que había hecho ingeniería inversa del primer exploit — usó una variante diferente del mismo patrón de depósito falso en Bifrost. Esta vez el protocolo detectó el exploit más rápido y limitó la pérdida a aproximadamente $8M antes de pausar.

Consecuencias

  • THORChain pausó Chaosnet y lanzó parches de Bifrost.
  • El equipo ofreció a ambos atacantes recompensas white-hat del 10% por la devolución de los fondos. El primer atacante aceptó y devolvió la mayor parte de la pérdida; el segundo devolvió una cantidad parcial.
  • El protocolo revisó sus topes de trading, ralentizó su despliegue de Chaosnet y emergió en 2022 como un sistema significativamente más conservador.

Por qué importa

Los incidentes gemelos de julio de THORChain reforzaron una lección recurrente sobre observación de mensajes cross-chain: la visión de un puente del estado de una cadena externa es solo tan confiable como el código que construye esa visión. Cualquier función en el módulo observador que pueda ser manipulada por un depositante — incluso rutas de depuración, bucles de override o ayudantes de migración — puede producir créditos falsos que el resto del protocolo trata como fondos reales. El mismo patrón se desarrolló a escala mucho mayor en Nomad (2022) y Qubit Finance (2022).

THORChain es también uno de un pequeño conjunto de protocolos de tamaño medio donde ambos atacantes devolvieron una porción sustancial de la pérdida — una función del equipo pequeño e identificable del protocolo, la presencia activa de la comunidad y la clara visibilidad on-chain de cada intento de blanqueo.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-thorchain-hack-july-2021
  2. [02]slowmist.medium.comhttps://slowmist.medium.com/slowmist-analysis-of-three-consecutive-attacks-on-thorchain-6223f1c691be
  3. [03]coindesk.comhttps://www.coindesk.com/markets/2021/07/23/blockchain-protocol-thorchain-suffers-8m-hack

Registros relacionados