El protocolo de liquidez descentralizada THORChain ha suspendido temporalmente sus operaciones tras registrarse un presunto exploit multimillonario. El investigador de blockchain ZachXBT emitió la primera alerta pública el 15 de mayo de 2026, señalando una vulnerabilidad que afectó de forma simultánea a fondos distribuidos en las redes Bitcoin, Ethereum, BNB Chain y Base. La interrupción preventiva de la actividad busca mitigar un impacto financiero estimado de forma preliminar en varios millones de dólares.
La confirmación técnica de la paralización se reflejó de inmediato en los canales de monitoreo oficiales de la red. El canal automatizado de alertas de Telegram de la plataforma detalló que tanto el intercambio de activos como la firma de transacciones fueron pausados de manera global por los operadores de los nodos de validación.
Según los registros publicados en el canal de alertas de THORChain, la suspensión de los nodos se programó para extenderse hasta el bloque número 26191149, lo que representa una ventana temporal de inactividad de aproximadamente 12 horas y 42 minutos desde el momento del incidente.
De forma complementaria, las indagaciones realizadas por firmas de seguridad independientes corroboraron la anomalía en el flujo de fondos. El analista ZachXBT publicó los hallazgos en su canal oficial de investigaciones, detallando que la vulnerabilidad explotada permitió el drenado coordinado de activos a través de múltiples cadenas de bloques de forma consecutiva.
#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.
— PeckShieldAlert (@PeckShieldAlert) May 15, 2026
The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK
La firma de seguridad y auditoría PeckShield también se sumó a las labores de detección temprana, emitiendo una notificación pública a través de su cuenta oficial de PeckShieldAlert en la red social X para advertir a los usuarios y plataformas de intercambio sobre la movilización inusual de activos vinculada a contratos del protocolo.
El rastreo on-chain de las direcciones involucradas proporciona una métrica precisa del capital sustraído. La plataforma de análisis de inteligencia cripto Arkham identificó y etiquetó de forma específica la billetera utilizada por el atacante.
El panel de datos de la entidad explotadora en Arkham revela que la dirección concentraba un saldo total de 10,8 millones de dólares en criptoactivos. Este monto fue consolidado a través de una serie de transacciones menores ejecutadas en un intervalo de 30 minutos, completándose el movimiento final a las 10:11 UTC del 15 de mayo de 2026. Al momento de redactar este informe, la administración oficial de THORChain no ha emitido un comunicado definitivo que desglose el vector técnico del ataque, aunque la detención total del consenso de nodos ratifica la gravedad del problema.
Impacto en el mercado de RUNE
La noticia del incidente de seguridad generó una reacción negativa inmediata en la cotización del token nativo del protocolo. El precio de RUNE experimentó un descenso del 13% en los minutos posteriores a la difusión de los informes de seguridad, posicionándose en una cotización de aproximadamente 0,51 dólares por unidad de acuerdo con las plataformas de agregación de datos de mercado.
Este ajuste bajista profundiza la devaluación acumulada del activo digital, el cual registra una contracción del 72% en su valor de mercado a lo largo del último año, reflejando la devaluación del activo y la sensibilidad de los inversores ante eventos que comprometen la custodia de la liquidez cross-chain.
Este suceso se inscribe dentro de un repunte considerable de incidentes de seguridad que afectan a las finanzas descentralizadas durante el año 2026. Los registros históricos compilados en el panel de hackeos de DefiLlama muestran que los atacantes informáticos lograron sustraer más de 634 millones de dólares durante el mes de abril de 2026.
Esta cifra se consolida como el volumen mensual de pérdidas más elevado registrado desde febrero de 2025, periodo en el que las pérdidas agregadas alcanzaron los 1.460 millones de dólares debido al ciberataque de 1.400 millones de dólares perpetrado contra la plataforma de intercambio Bybit.
Historial de THORChain como canal de intercambio de fondos robados
A pesar de operar como un protocolo legítimo y no custodial de liquidez entre cadenas, las características técnicas de THORChain han provocado que diversos actores maliciosos lo empleen con frecuencia para transferir capitales de procedencia ilícita. A diferencia de un mezclador de criptomonedas convencional, THORChain permite realizar swaps directos entre activos nativos de distintas cadenas de bloques sin necesidad de usar tokens envueltos ni custodios centralizados, lo que dificulta el bloqueo de transacciones.
Un ejemplo de esta dinámica ocurrió a mediados de abril de 2026, cuando el grupo de ciberdelincuentes responsable del ataque multimillonario contra Kelp DAO utilizó la infraestructura del protocolo. Durante este evento, los atacantes convirtieron un total de 75.700 Ether utilizando los fondos de liquidez de THORChain.
Aunque el ataque original supuso un duro golpe para la industria, el procesamiento de estas transacciones generó alrededor de 910.000 dólares en ingresos por comisiones para la red de THORChain. El grupo de piratas informáticos Lazarus Group robó 292 millones de dólares en esa vulneración específica del puente de Kelp DAO, evidenciando cómo el crimen organizado transnacional aprovecha la arquitectura descentralizada y sin restricciones de verificación de identidad de la plataforma para canalizar fondos hacia redes soberanas.
Asimismo, registros de seguridad indican que aproximadamente 1.200 millones de dólares de los fondos extraídos en el hackeo de Bybit en 2025 también se movilizaron mediante esta plataforma de intercambio cruzado para transformarse de Ether a Bitcoin nativo.
