Tre exploit in cinque giorni. $23 milioni svaniti. THORChain il 15 maggio, Verus Bridge il 18, Echo Protocol il 19. Il mese non è finito.
Security Incident Report
- Protocollo THORChain
- Importo sottratto $10.800.000
- Chain BTC · ETH · BNB · Base
- Data 15 mag 2026, 09:45 UTC
- RUNE -15% in pochi minuti
- Vettore Vulnerabilità nel GG20 TSS. Un nodo malevolo ha estratto frammenti di chiave crittografica durante le cerimonie di firma, ricostruendo nel tempo la chiave privata completa di un vault Asgard e firmando transazioni non autorizzate.
- Risposta del protocollo Comando "make pause" al blocco 26190429. Trading, swap, LP actions e firma sospesi. Fondi utenti non compromessi. THORSec, Chainalysis e law enforcement coinvolti.
Fonte: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15-16 maggio 2026
Fonte: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15-16 maggio 2026
Il 15 maggio, alle 09:45 UTC, ZachXBT posta un alert su Telegram: flussi anomali dai vault Asgard di THORChain, il principale exchange decentralizzato cross-chain. Stima iniziale: $7,4 milioni. Tutto fermo. Due ore dopo il numero aveva raggiunto $10,8 milioni, l'attacco aveva toccato Bitcoin, Ethereum, BNB Chain e Base in simultanea, e il token nativo RUNE era precipitato del 15%, da $0,58 a circa $0,50 in pochi minuti. Il meccanismo di pausa automatica ha funzionato, contenendo il danno a uno solo dei sei vault Asgard attivi. Fondi utente: al sicuro.
Il vettore è raffinato. Un validatore ha operato onestamente per giorni, accumulando frammenti di materiale crittografico durante le normali cerimonie di firma del protocollo GG20 TSS. Con abbastanza frammenti estratti nel tempo, ha ricostruito la chiave privata completa di un vault Asgard, firmando transazioni in uscita come se fosse legittimato dall'intero consenso di rete. Il nodo malevolo, identificato come thor16ucjv3v695mq283me7esh0wdhajjalengcn84q, era entrato nel set attivo pochi giorni prima dell'attacco. Pianificazione da manuale.
Chainalysis ha ricostruito settimane di preparazione: operazioni su Monero, Hyperliquid e Arbitrum, concluse con un trasferimento di 8 ETH al wallet di attacco esattamente 43 minuti prima del drenaggio. Una firma già vista: il Kelp DAO era stato svuotato per $292 milioni in aprile con mesi di preparazione analoga. THORChain, ironia, era stato usato proprio come rail di riciclaggio in quell'operazione, con il Lazarus Group che aveva mosso circa $175 milioni in ETH rubato attraverso il protocollo in 36 ore. La crisi Aave post-Kelp si era chiusa solo il 18 maggio, lo stesso giorno del secondo attacco di questa settimana.
Security Incident Report
- Protocollo Verus-Ethereum Bridge
- Importo sottratto $11.580.000
- Asset drenati 103,6 tBTC · 1.625 ETH · 147K USDC
- Data 18 maggio 2026
- Wallet attaccante 0x65Cb…C25F9
- Vettore Vettore tecnico in fase di analisi al 19 maggio 2026. Il wallet era stato pre-finanziato con 1 ETH via Tornado Cash circa 14 ore prima. I fondi sono stati convertiti in 5.402,4 ETH e restano nel wallet.
- Risposta del protocollo Segnalazione in tempo reale da Blockaid. Nessun comunicato tecnico completo dal team Verus al momento della pubblicazione.
Fonte: Blockaid, PeckShield · 18 maggio 2026
Fonte: Blockaid, PeckShield · 18 maggio 2026
Tre giorni dopo THORChain. Nessuna pausa. Blockaid segnala l'exploit sul Verus-Ethereum Bridge mentre è ancora in corso: l'attaccante aveva già drenato 103,6 tBTC, 1.625 ETH e 147.000 USDC prima che chiunque potesse intervenire, convertendo tutto in 5.402,4 ETH. Il wallet di destinazione, 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9, risulta attivo al 19 maggio. Il pre-finanziamento via Tornado Cash 14 ore prima parla chiaro: operazione pianificata, non opportunistica. Schema già documentato con Drift Protocol ad aprile, dove i wallet di attacco erano stati preparati settimane in anticipo con gli stessi strumenti. Il vettore tecnico specifico di Verus è ancora in fase di analisi.
Security Incident Report
- Protocollo Echo Protocol (Monad)
- Importo sottratto (effettivo) $816.000
- eBTC coniati (nominale) 1.000 eBTC ($76,7M)
- Data 18-19 mag 2026, 22:55 UTC
- ETH a Tornado Cash 384 ETH ($821.700)
- Vettore Chiave admin compromessa: EOA singola senza multisig, senza timelock, senza limite di emissione. L'attaccante ha coniato 1.000 eBTC, usato 45 come collaterale su Curvance, preso a prestito 11,29 WBTC e inviato 384 ETH a Tornado Cash.
- Risposta del protocollo Echo recupera le chiavi admin e brucia i 955 eBTC residui. Operazioni cross-chain sospese. Curvance pausa il mercato eBTC. Co-fondatore di Monad Keone Hon: la rete non è compromessa.
Fonte: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD) · 18-19 maggio 2026
Fonte: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD su X) · 18-19 maggio 2026
Il 18 maggio sera, l'analista on-chain dcfgod pubblica un post su X. Qualcuno ha coniato 1.000 eBTC su Echo Protocol, su Monad, dal nulla. Valore nominale: $76,7 milioni. Danno reale: $816.000. Il gap tra i due numeri racconta tutto: l'attaccante aveva chiavi admin con poteri di emissione illimitati, nessuna protezione multisig e nessun timelock. Ha usato 45 eBTC come collaterale su Curvance, prelevato 11,29 WBTC, portato i fondi su Ethereum e inviato 384 ETH a Tornado Cash. Tutto in poche ore. I 955 eBTC rimanenti giacevano inutilizzabili nel wallet dell'attaccante: nessuna liquidità sul network Monad era sufficiente per convertirli in valore reale. Echo li ha bruciati. Il co-fondatore di Monad Keone Hon ha confermato che la rete stessa non è stata toccata.
SlowMist founder Yu Xian ha messo il dito sul problema: un singolo punto di controllo con poteri assoluti di emissione è una vulnerabilità by design, non un errore isolato. Il pattern è identico a decine di exploit precedenti su bridge cross-chain. Per capire come architetture simili stanno aprendo falle anche nel settore AI-crypto, la nostra analisi su LLM router e sicurezza wallet descrive lo stesso schema su un vettore diverso.
Dati chiave
- THORChain — fondi drenati (15 mag) $10.800.000
- Verus Bridge — fondi drenati (18 mag) $11.580.000
- Echo Protocol — danno effettivo (19 mag) $816.000
- Echo Protocol — eBTC coniati (nominale) $76.700.000 (non liquidabili)
- Totale effettivo 3 exploit (5 giorni) $23.196.000
- Exploit DeFi totali a maggio 2026 14 (fonte: DefiLlama)
Fonte: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15-19 maggio 2026
Fonte: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15-19 maggio 2026
Come fanno gli hacker a rubare crypto dai bridge DeFi?
I tre attacchi di questa settimana hanno vettori tecnici distinti, ma condividono una struttura. Il bridge è il punto d'ingresso, non perché sia necessariamente il componente più debole, ma perché è quello che concentra il maggior valore in transito tra chain diverse, spesso con meno ridondanza di quanto i protocolli core si permettano.
Per THORChain, l'attaccante ha sfruttato una falla crittografica nel GG20 TSS: non ha rubato la chiave, l'ha ricostruita pezzo per pezzo durante operazioni legittime di rete. Con la chiave riassemblata, firmava transazioni come un validatore autentico. Nessun alert fino a quando i movimenti on-chain erano già evidenti.
Per Verus Bridge, il vettore è ancora in analisi, ma il pre-finanziamento via Tornado Cash 14 ore prima indica un'operazione pianificata con cura, non opportunistica. Per Echo Protocol, la falla non era crittografica: una chiave admin senza protezioni, con potere di emissione illimitato, era l'unica difesa tra il protocollo e chiunque avesse accesso.
Il meccanismo di amplificazione del danno è poi sempre lo stesso. Token sintetici o wrapped emessi da un bridge vengono accettati come collaterale da protocolli di lending contigui. Si crea valore dal nulla, si prende a prestito valore reale, si esce prima che i sistemi reagiscano. È il pattern che ha distrutto il bridge Kelp DAO per $292 milioni in aprile. Prima ancora, con dinamiche simili, aveva colpito Drift Protocol per $285 milioni. La composabilità DeFi è il suo punto di forza. In questi scenari è anche la leva di distruzione più efficiente che esista. Per approfondire come proteggersi in questo contesto, la Guida Web3 di SpazioCrypto copre i principali rischi operativi.
Maggio 2026 conta già 14 incidenti di sicurezza su protocolli DeFi secondo DefiLlama, e il 19 del mese non è ancora passato per intero. Aprile si era chiuso a $651 milioni totali, con Kelp e Drift che avevano fatto da soli il 91% del danno. L'attenzione ora è su due punti precisi. Primo: l'attribuzione dell'exploit THORChain. TRM Labs non ha ancora assegnato la responsabilità ad alcun attore.
Se emergesse il coinvolgimento del Lazarus Group, come già documentato per Kelp e Drift, le perdite nordcoreane per il 2026 supererebbero qualunque anno precedente con quattro mesi ancora da chiudere. Secondo: il voto della community THORChain sulla remediation, atteso entro il 22-23 maggio, tra slashing dei bond del nodo compromesso e copertura con il protocol-owned liquidity. RUNE aveva già perso il 15% in ore.
Quello che la community decide nei prossimi giorni dirà qualcosa di concreto sulla capacità della DeFi di darsi regole senza aspettare che qualcuno lo imponga dall'esterno. Tutti gli aggiornamenti sugli exploit di maggio sono raccolti nella sezione Hack di SpazioCrypto.
