Cofundador de THORChain identificado como víctima en hackeo de $1.2 millones vinculado a Corea del Norte

SourceCryptopolitan

Sep 12, 2025 12:00

Una billetera personal que supuestamente pertenece a un cofundador de THORChain ha sido comprometida, resultando en una pérdida de más de $1.2 millones, según el rastreador de seguridad Peckshield. El protocolo ha desmentido informes anteriores en plataformas sociales que afirmaban que la violación afectaba a toda su red.

La plataforma de seguridad Web3 ExVul Defender publicó en X el viernes que el atacante comenzó a mover fondos hace dos días. Aparentemente obtuvieron liquidez inicial de un mezclador antes de interactuar con la red THORChain, realizando sus primeras transacciones a las 06:41:47 AM UTC del miércoles.

Corrección: Este incidente involucró la explotación de la billetera personal de un usuario, y no está relacionado con @THORChain. 🙏

— THORChain (@THORChain) September 12, 2025

En Etherscan, la dirección de la billetera, en conjunto con THORChain, ha emitido tres ofertas de recompensa dentro de los dos días posteriores al hackeo, pero hasta ahora, el atacante no ha respondido.

ZachXBT: La víctima es JP, cofundador de THORChain

Respondiendo al post de alerta de PeckShield en X, el investigador de seguridad blockchain ZachXBT identificó a la víctima como John-Paul Thorbjornsen, también conocido como JP, cofundador tanto de THORChain como de la aplicación de billetera Vultisig.

La billetera probablemente pertenece a @jpthor, quien tuvo una billetera privada comprometida debido a una estafa de reunión falsa hace unos días.

JP es una de las personas que se ha beneficiado económicamente del lavado de hackeos/explotaciones de DPRK.

Así que es un poco poético que haya sido destrozado aquí por DPRK. pic.twitter.com/T57RRJ0bbf

— ZachXBT (@zachxbt) September 12, 2025

Según ZachXBT, la billetera personal de JP fue vaciada de aproximadamente $1.35 millones durante una estafa de llamada de reunión en Telegram orquestada por hackers norcoreanos el martes.

JP, y plataformas vinculadas a él, han sido previamente relacionados con beneficios financieros provenientes de actividades de lavado vinculadas a hackeos de Corea del Norte, incluida la explotación de $1.5 mil millones en tokens Ethereum ejecutada a finales de febrero.

“JP es una de las personas que se ha beneficiado económicamente del lavado de hackeos y explotaciones de DPRK”, escribió ZachXBT. “Así que es un poco poético que haya sido destrozado aquí por DPRK.”

Los registros blockchain del 9 de septiembre revelan una serie de movimientos de fondos desde la dirección del robo, que podrían haber sido un intento de ocultar el rastro del dinero. La primera transferencia involucró 6,233,015 tokens THORChain, que fueron movidos fuera de la billetera comprometida hace tres días.

Casi inmediatamente después, otra transacción colocó 6,233,180 tokens en una dirección marcada como “Fake_Phishing1347722”, una etiqueta asociada con el lavado y la ofuscación relacionada con el phishing.

Todavía dentro del día, el atacante movió 6,333,180 tokens a través de THORChain, seguido por otros 6,333,333 tokens, posiblemente ciclando grandes sumas a diferentes direcciones, junto con un pago más pequeño de 1,250,000 tokens.

El mayor grupo de fondos robados, que asciende a 2,778,345 tokens, finalmente llegó al protocolo Kyber, probablemente intercambiado para crear capas de separación de la fuente original.

Actualmente, la mayoría de los fondos robados por valor de $1.218 millones están en 0x7abc09ab94d6015053f8f41b01614bb6d1cc7647, dijo ZachXBT en su canal de Telegram de investigaciones.

¿Se benefició THORChain del lavado del hackeo?

Datos de Arkham Intelligence muestran que los hackers detrás del ataque movieron al menos 209,384 ETH, valorados en aproximadamente $480 millones, a Bitcoin. Esto representó más del 50% de los aproximadamente 400,000 ETH robados.

Investigadores blockchain rastrearon cerca de $1.2 mil millones en cripto ilícito, aproximadamente el 85% de los fondos perdidos, moviéndose a través de THORChain. En los primeros días del incidente, al menos $240 millones de los ingresos fueron lavados a través de THORChain y cambiados a BTC, informó Arkham.

Algunos competidores colaboraron con las autoridades para restringir transacciones sospechosas, pero los operadores de THORChain hicieron poco o nada para bloquear direcciones, a pesar de solicitudes formales del FBI y otras agencias. Las aplicaciones de billetera construidas en la red, incluidas Asgardex y Vultisig, continuaron procesando la actividad sin interrupción.

Firmas de seguridad blockchain sugirieron que los validadores de la red y desarrolladores de billeteras, muchos de los cuales son públicamente identificables y operan en jurisdicciones con estrictos requisitos contra el lavado de dinero, reclamaron tarifas de más de $12 millones por lavar los fondos.

“El protocolo sigue funcionando e intercambiando a pesar del caos. De hecho, está funcionando muy bien”, dijo supuestamente Thorbjornsen, defendiendo sus operaciones. En ese momento, THORChain registró su mayor día de operaciones, con más de $737 millones en tokens intercambiados a través de la red.