Odaily Planet Daily informa que THORChain publicó en la plataforma X que sus desarrolladores han compartido una actualización del evento en Discord. La evidencia actual apunta a un nodo recién incorporado a la red, thor16uc...cn84q, relacionado con el ataque, el cual es operado por un único actor malicioso. La principal hipótesis es que el atacante aprovechó una vulnerabilidad en la implementación de GG20 TSS, lo que permitió la exposición progresiva del material de clave sensible de los participantes de la bóveda, culminando en la reconstrucción de la clave privada de la bóveda y la ejecución de transacciones de retiro no autorizadas.
En cuanto al estado de la red, tras que múltiples operadores de nodos ejecutaran make pause, la red se ha suspendido; las transferencias de RUNE y la observación en la cadena podrían reanudarse en aproximadamente 12 horas, pero las operaciones de intercambio, LP, firmas y otras acciones sensibles siguen suspendidas.
Las soluciones de recuperación en discusión incluyen la confiscación del margen de los nodos afectados, la asunción de pérdidas por parte de la liquidez propia del protocolo (POL) u otras propuestas impulsadas por la comunidad. THORSec y Outrider Analytics continúan realizando la investigación, mientras que la Tesorería recopila datos forenses y coordina con las autoridades competentes. Se espera que la recuperación completa de las funciones tome varios días o más.