A startup de segurança V12 afirma ter reportado uma vulnerabilidade crítica ao THORChain semanas antes de um exploit de US$ 10,7 milhões atingir uma falha quase idêntica. O protocolo teria corrigido o problema em silêncio — e depois comunicado que o programa de recompensas estava “permanentemente encerrado”.
A empresa de segurança V12 veio a público afirmar que identificou e reportou de forma responsável uma vulnerabilidade crítica de drenagem de fundos no protocolo cross-chain THORChain — semanas antes de um ataque explorar uma falha praticamente idêntica e causar perdas de US$ 10,7 milhões.
Segundo a V12, após o reporte, o THORChain aplicou a correção sem qualquer comunicação pública ou reconhecimento formal. Quando os pesquisadores buscaram informações sobre o programa de bug bounty, teriam recebido como resposta que a recompensa estava “permanentemente aposentada” — sem explicações adicionais.
A situação levanta questões sérias sobre a forma como protocolos DeFi lidam com divulgação responsável de vulnerabilidades — e sobre os incentivos existentes para que pesquisadores de segurança continuem reportando falhas em vez de explorá-las.
O que disse a V12
Segundo a The Defiant, a V12 afirma que planeja publicar o código do exploit para outras vulnerabilidades que identificou — uma prática conhecida como full disclosure — caso os protocolos continuem ignorando relatórios de segurança ou cancelando programas de recompensa sem justificativa. A startup alega que a postura do THORChain desincentiva a cultura de divulgação responsável em todo o ecossistema DeFi.
O THORChain é um protocolo de liquidez cross-chain que permite a troca de ativos nativos entre diferentes blockchains, como Bitcoin e Ethereum, sem uso de wrapped tokens. Por sua arquitetura, concentra volumes relevantes de liquidez — o que o torna um alvo de alto valor para atacantes.
O exploit de US$ 10,7 milhões que atingiu o protocolo explorou uma lógica de processamento de transações que, segundo a V12, apresentava similaridade estrutural com a falha que a empresa havia reportado anteriormente. A coincidência temporal e técnica é o centro da controvérsia.
A V12 afirma ter identificado e divulgado uma falha crítica de drenagem de fundos ao THORChain antes do exploit público ocorrer.
O protocolo teria aplicado o patch em silêncio, sem comunicado público, reconhecimento ou coordenação com os pesquisadores.
Quando buscaram a recompensa, os pesquisadores foram informados de que o programa de bug bounty estava “permanentemente encerrado”.
A V12 ameaça publicar o código de exploit de outras falhas encontradas caso protocolos sigam ignorando relatórios de segurança.
A prática de silent patching — corrigir vulnerabilidades sem comunicar publicamente os pesquisadores que as reportaram — é controversa no setor de segurança. Embora possa evitar que atacantes tomem conhecimento da falha antes do patch, também priva os pesquisadores de crédito e de eventuais recompensas financeiras.
📰 Contexto editorial
Segundo a The Defiant, veículo especializado em DeFi que primeiro reportou o caso, o THORChain não havia respondido aos pedidos de comentário até o momento da publicação original. O KriptoHoje também não obteve posicionamento oficial do protocolo até o fechamento desta reportagem.
O episódio reacende o debate sobre a sustentabilidade dos programas de bug bounty em protocolos DeFi. Pesquisadores de segurança dependem dessas recompensas como incentivo econômico para agir de forma ética — e a ausência de respostas adequadas pode empurrar talentos para o lado oposto da equação.
Para usuários que armazenam ativos em protocolos cross-chain, casos como esse reforçam a importância de manter chaves privadas sob custódia própria e de acompanhar ativamente os comunicados de segurança dos projetos utilizados. Leia também nosso guia sobre como a IA está tornando golpes cripto mais sofisticados para entender o cenário atual de ameaças.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Sua melhor defesa começa na custódia própria
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ O que é bug bounty em criptoProgramas de recompensa por vulnerabilidades são pilares da segurança em blockchain — quando funcionam corretamente.
⛓️ Como funcionam protocolos cross-chainBridges e protocolos como o THORChain conectam blockchains distintas — e concentram riscos que merecem atenção.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.