THORChain co-founder (JP) was hit by a $1 million wallet exploit, where the attackers (DPRK-linked) hacked JP’s friend’s Telegram and lured him into clicking a malicious link, through which they gained access to his encrypted keychains containing forgotten MetaMask chaves. Foi revelado que o invasor drenou aproximadamente US$ 1.35 milhão em ativos de uma carteira que JP havia esquecido.

ZachXBT confirma que o cofundador da THORChain foi a vítima

O investigador de segurança de blockchain ZachXBT identificou a vítima como John-Paul Thorbjornsen, também conhecido como JP, cofundador do THORChain e do aplicativo de carteira Vultsig. De acordo com ZachXBT, a carteira pessoal de JP (não o protocolo THORChain em si) foi hackeada após ele ter caído em um phishing no Telegram. golpe envolvendo uma reunião falsa e uma representação deepfake. ZachXBT confirmado isso em resposta à postagem do PeckShieldAlert sobre a exploração da carteira pessoal do THORChain, que alegou que US$ 1.2 milhão foram roubados.

Eventualmente, JP também confirmado que ele havia de fato sido enganado e explicou todo o incidente. Ele afirmou que os invasores primeiro hackearam o Telegram de seu amigo e depois o convidaram para uma chamada do Zoom, onde um deepfake foi usado para aumentar a autenticidade. JP clicou no link durante a chamada, mas não percebeu nenhum comando ou solicitação suspeita. Ele acredita que os hackers obtiveram acesso às suas chaves criptografadas do iCloud ou ao seu perfil do Chrome em seu Mac, onde as chaves da MetaMask estavam armazenadas. JP acrescentou ainda que nenhuma solicitação de senha foi encontrada e que muito provavelmente os hackers conseguiram explorar uma falha grave de segurança.

Thorswap emite oferta de recompensa pela exploração da carteira do fundador da THORChain

A THORSwap emitiu uma série de ofertas de recompensas após a exploração da carteira do cofundador da THORChain. Para recuperar os fundos roubados, a LookonChain sinalizou uma mensagem on-chain enviada à carteira do explorador. Registrada no Etherscan, a nota oferecia uma recompensa pela devolução dos tokens THOR roubados em até 72 horas, garantindo que nenhuma ação legal seria tomada caso os hackers concordassem e compartilhassem os dados de contato com a equipe da THORChain.

Controvérsias em torno do ataque

ZachXBT observou ainda que, na época em que descobriu o hack da carteira de JP, JP e THORChain haviam lucrado anteriormente com a lavagem de criptomoedas roubadas vinculadas à RPDC, como US$ 1.5 bilhão Bybit hackear no início de maio de 2025. Mais de 85% de BybitO ETH supostamente fluiu através do THORChain, e a rede supostamente ganhou cerca de US$ 12 milhões em taxas ao permitir a lavagem de dinheiro.

ZachXBT chamou esse evento de irônico, já que o próprio JP lucrou com lavagem de dinheiro vinculada a explorações da RPDC e agora se tornou vítima dos mesmos exploradores dos quais ele havia se beneficiado anteriormente.

Lição aprendida

O ataque causou grandes perdas ao cofundador da THORChain devido a um ataque de phishing no Telegram, e agora sua equipe está trabalhando para recuperar seus US$ 1.35 milhão em tokens THOR e devolver os ativos ao legítimo proprietário. Apesar de ter obtido vantagens e lucros de hackers ligados à RPDC, JP caiu na armadilha dos mesmos exploradores, uma reviravolta irônica, segundo os críticos.

Destacando o recente incidente de hacking, JP enfatizou que as chaves privadas se tornam mais arriscadas quanto mais tempo são armazenadas e pediu aos usuários que não façam backup delas no iCloud, Google Drive ou serviços semelhantes. Além disso, ele recomendou a autenticação de dois fatores em um dispositivo separado para reduzir a exposição. Com isso, a lição foi aprendida e a sabedoria foi disseminada entre os observadores.