THORSwap offre una ricompensa legata all’exploit di oltre 1 milione di dollari del wallet del fondatore di THORChain: secondo gli analisti onchain

L'aggregatore DEX di THORChain, THORSwap, ha fatto una serie di offerte di ricompensa ripetute all'autore dell'exploit di un wallet personale di un utente negli ultimi giorni; secondo ZachXBT, la vittima sarebbe probabilmente il fondatore di THORChain, John-Paul Thorbjornsen.

"Offerta di ricompensa: restituisci $THOR per una ricompensa. Contatta contact @ thorswap.finance o il discord di THORSwap per un accordo OTC," recita l'ultimo messaggio onchain inviato all'hacker venerdì mattina. "Non verrà intrapresa alcuna azione legale se restituito entro 72 ore."

La società di sicurezza blockchain PeckShield ha segnalato i messaggi su X, suggerendo inizialmente che il protocollo THORChain stesso fosse stato vittima di un exploit di circa 1.2 milioni di dollari. Tuttavia, quel post è stato successivamente corretto per confermare che era stato compromesso il wallet personale di un utente, dopo chiarimenti dal team di THORChain. "Questo incidente ha coinvolto il wallet personale di un utente e non è collegato a THORChain," ha dichiarato il progetto. "Si tratta solo di una ricompensa richiesta per la restituzione degli asset rubati. Nessun protocollo (thorchain o thorswap) è stato compromesso." Ha aggiunto anche il CEO di THORSwap, "Paper X".

Probabile vittima il fondatore di THORChain

Rispondendo al post di PeckShield su X, l'investigatore onchain ZachXBT ha affermato che il wallet compromesso appartiene probabilmente al fondatore di THORChain, John-Paul Thorbjornsen, che martedì ha subito il furto di 1.35 milioni di dollari da parte di hacker nordcoreani.

La fonte dell'attacco è stata un messaggio proveniente dall'account Telegram hackerato di un amico del fondatore di THORChain, contenente un falso link per una riunione Zoom, come ha riconosciuto Thorbjornsen all'inizio di questa settimana. "Ok, quindi questo attacco si è finalmente concretizzato," ha aggiunto martedì. "Un vecchio MetaMask è stato svuotato."

Thorbjornsen ha dichiarato che il wallet MetaMask era presente solo in un altro profilo Chrome disconnesso, con la chiave memorizzata in iCloud Keychain, ma gli aggressori probabilmente hanno avuto accesso a uno o entrambi tramite un exploit 0-day — rafforzando la sua opinione che i wallet con firma threshold, che suddividono le chiavi tra diversi dispositivi, siano l'unica vera protezione.

Secondo ZachXBT, l'attaccante ha rubato circa 1.03 milioni di dollari in token Kyber Network e 320,000 dollari in token THORSwap. L'indirizzo del furto ha inviato i fondi allo stesso indirizzo "Exploiter 6" a cui sono stati inviati i messaggi onchain di ricompensa. La maggior parte dei fondi rubati, corrispondente alla cifra di 1.2 milioni di dollari indicata da PeckShield, si trova attualmente su un indirizzo che inizia con "0x7Ab", apparentemente convertiti in ETH, ha osservato ZachXBT sul suo canale ufficiale Telegram.

The Block ha contattato Thorbjornsen per un commento.