Venerdì mattina il protocollo di liquidità cross-chain THORChain ha sospeso tutte le operazioni di trading dopo che ricercatori di sicurezza blockchain hanno individuato una violazione sospetta per oltre 10 milioni di dollari, distribuita simultaneamente su quattro reti distinte. La notizia ha colpito duramente il token nativo RUNE, sceso di circa il 10% in poche ore fino a quota $0,52.
Un attacco su quattro blockchain in parallelo
Le prime tracce dell'exploit sono emerse grazie al ricercatore on-chain ZachXBT e alla società di sicurezza PeckShield, come riportato da Decrypt il 15 maggio. I fondi sarebbero concentrati in due indirizzi principali: uno su Bitcoin — dove sono stati trasferiti 36,75 BTC per circa 3 milioni di dollari — e uno su reti EVM, con perdite stimate intorno ai 7 milioni di dollari distribuite tra Ethereum, BNB Smart Chain e Base. Il team del protocollo ha interrotto trading e firma on-chain come misura difensiva immediata, senza ancora rilasciare dettagli tecnici sulla vulnerabilità sfruttata.
Ciò che colpisce non è solo l'entità — relativamente contenuta rispetto ad altri episodi recenti — ma la capacità dell'attaccante di drenare liquidità simultaneamente da catene architetturalmente eterogenee. I bridge cross-chain restano il vettore d'attacco più sfruttato nell'ecosistema DeFi: la complessità dei meccanismi di bridging crea superfici difficili da auditare in modo esaustivo, e ogni protocollo che gestisce liquidità multi-chain amplia inevitabilmente questa finestra di rischio sistemico.
Il peso di una storia già difficile
THORChain arriva a questo exploit con una reputazione già sotto pressione. A gennaio 2025 il protocollo aveva sospeso le operazioni di ThorFi lending a causa di obbligazioni non onorate per 200 milioni di dollari, avviando una ristrutturazione di 90 giorni. Lo scorso settembre, inoltre, hacker che ZachXBT ha poi attribuito a operatori nordcoreani avevano svuotato il wallet personale del fondatore John-Paul Thorbjornsen per 1,2 milioni di dollari, un precedente che alza ulteriormente l'attenzione sulle vulnerabilità strutturali del protocollo.
Il contesto settoriale non è incoraggiante. Secondo i dati di CertiK, gli hacker nordcoreani hanno sottratto 2,1 miliardi di dollari in criptovalute nel corso del 2025, pari al 60% di tutte le perdite da furto crypto registrate quell'anno. Nel solo maggio 2026, la piattaforma DeFi TrustedVolumes ha già subito una perdita separata di 6,7 milioni di dollari. La serie di attacchi dipinge un quadro in cui la sicurezza dei protocolli cross-chain rimane strutturalmente fragile — e THORChain, con i suoi pool ad alta liquidità, rappresenta un bersaglio particolarmente attraente.
Per il protocollo, il percorso di recupero dipenderà ora dalla trasparenza della post-mortem tecnica e dalla capacità di riparare la falla prima che altri attori la sfruttino. Senza chiarimenti pubblici sul vettore dell'attacco, la fiducia degli utenti rimarrà in bilico — e con essa, il destino di RUNE sui mercati.
