THORChain está enfrentando una grave crisis de seguridad después de que la startup de auditoría automática de código V12 amenazara con publicar públicamente el código explotable de varias vulnerabilidades sin parchear. El ultimátum llega tras una amarga disputa sobre un error crítico divulgado previamente, que según V12, THORChain arregló en silencio sin ofrecer reconocimiento ni compensación económica.
Según V12, informaron de buena fe una vulnerabilidad de alta severidad al equipo de seguridad de THORChain. En lugar de gestionar la comunicación a través de los canales estándar de programas de recompensas por bugs, THORChain habría aplicado un parche silencioso para solucionar el problema. Cuando V12 solicitó su recompensa, el equipo del protocolo les indicó que el programa estaba "retirado permanentemente", dejándolos sin pago alguno.
Este conflicto evidencia una creciente tensión entre investigadores independientes de seguridad y protocolos descentralizados en cuanto a pagos por recompensas. Para THORChain, un protocolo de liquidez cross-chain que permite swaps de activos nativos entre diferentes blockchains, la seguridad es un asunto vital. Históricamente, ha sido objetivo de exploits por millones de dólares, por lo que cualquier vulnerabilidad no parcheada representa un riesgo significativo para los proveedores de liquidez.
La decisión de V12 de publicar código de explotación sobre otras vulnerabilidades no parchadas aumenta el riesgo próximo de ataques de día cero. Si la startup cumple con su advertencia, actores malintencionados podrían usar ese código público para drenar liquidez antes de que los desarrolladores centrales puedan implementar correcciones. Este riesgo ya afecta el sentimiento del mercado, con operadores vigilando de cerca el token nativo RUNE y activos asociados de THOR, buscando indicios de fuga de capital.
Históricamente, puentes y protocolos cross-chain sufren fuertes caídas en liquidez cuando los conflictos de seguridad se hacen públicos. Los proveedores de liquidez suelen retirar activos primero para evitar quedar atrapados en una posible explotación.
Los participantes del mercado deben monitorizar cuidadosamente los canales oficiales de desarrolladores de THORChain y los flujos de liquidez on-chain durante las próximas 48 horas. El indicador clave es el Total Value Locked (TVL) de THORChain. Cualquier descenso repentino en el TVL indicará que los proveedores de liquidez están tomando medidas para reducir el riesgo ante el próximo plazo de divulgación de V12.
THORChain enfrenta revelaciones de vulnerabilidades tras disputa por parche silencioso
THORChain corrigió una vulnerabilidad crítica divulgada por V12 sin reconocimiento ni pago. V12 planea publicar pronto un código de explotación para vulnerabilidades no parcheadas.