Thetanuts: Verlassene Tresor-Aktionen wurden gehackt – 2,1 Millionen US-Dollar gestohlen, White-Hat-Hacker holten 2 Millionen zurück

DeFi-Optionsprotokoll Thetanuts Finance hat am 16. Juni bestätigt, dass eine alte, vor Jahren stillgelegte Verwahrung angegriffen wurde, was einen Verlust von 2,1 Millionen US-Dollar verursachte. Das Blockchain-Sicherheitsunternehmen PeckShieldAlert hatte vor der Bestätigung durch Thetanuts bereits eine Warnung ausgesprochen und berichtete, dass durch die Bemühungen von White-Hat-Hackern etwa 2 Millionen US-Dollar an Options-Token zurückerlangt werden konnten.

Angriffsdetails: PeckShieldAlert-On-Chain-Daten

(Quelle: PeckShieldAlert)

Laut PeckShieldAlert-Chain-Analyse und der Bestätigung durch Blockaid:

Zurückerlangte Mittel: rund 2 Millionen US-Dollar Options-Token (durch die Bemühungen von White-Hat-Hackern)

Umtausch durch Angreifer: rund 105.000 US-Dollar USDC wurden in etwa 60 ETH getauscht

Vom Angreifer gehalten: rund 34.000 US-Dollar USDC-gewertete Options-Token

Unabhängige Erkennung: Das Schwachstellen-Erkennungssystem von Blockaid bestätigt den Angriff unabhängig, veröffentlichte eine Community-Warnung und machte sowohl die Adresse der Angreifer als auch die Adresse des ausgenutzten Contracts öffentlich

Angriffsursprung durch Sicherheitsexperten

Der Sicherheitsexperte ExVul bestätigte in einem auf X veröffentlichten Schwachstellen-Analysebericht, dass der Angriffsursprung ein Defekt in der Rückzahlungs-Logik der Verwahrung war. Thetanuts Finance erklärte innerhalb weniger Stunden nach dem Angriff: „Unsere erste Untersuchung zeigt, dass dies eine Verwahrung betrifft, die wir schon vor Jahren aufgegeben haben … das hat nichts mit irgendeinem unserer aktuellen Verträge oder Produkte zu tun.“ Das Unternehmen versprach, nach dem Sammeln weiterer Details einen vollständigen Post-Mortem-Analysebericht zu veröffentlichen.

Bestätigte Angriffe auf stillgelegte Protokolle: Aztec Connect und kumulierte Verluste im Juni

Vor dem Thetanuts-Vorfall hatte Aztec Connect (ein Datenschutz-Brückenprojekt, das seit 2023 nicht mehr gepflegt wird) ebenfalls 2,1 Millionen US-Dollar verloren – wegen einer Verifizierungs-Schwachstelle in unveränderlichen Smart Contracts. Da das Team alle Admin-Schlüssel aufgegeben hatte, konnte niemand den Code reparieren oder pausieren.

Zum Zeitpunkt der Berichterstattung am 16. Juni lag das Gesamtvolumen der DeFi-Schwachstellen-Angriffe für Juni 2026 bereits bei über 46 Millionen US-Dollar, und der Monat war zu diesem Zeitpunkt erst zur Hälfte vorüber.

Häufige Fragen

Werden die aktuellen Produkte und Verträge von Thetanuts durch diesen Angriff beeinflusst?

Laut der offiziellen Erklärung von Thetanuts wurde eine Verwahrung angegriffen, die „vor Jahren stillgelegt“ worden war, „das hat nichts mit irgendeinem unserer aktuellen Verträge oder Produkte zu tun“. Das Unternehmen bestätigte außerdem, dass die bestehenden Produkte und Smart Contracts nicht von dieser Schwachstelle betroffen sind.

Wie viele Mittel bleiben am Ende unerstattet?

Laut PeckShieldAlert-On-Chain-Analyse konnten rund 2 Millionen US-Dollar durch die Bemühungen von White-Hat-Hackern zurückerlangt werden. Die Angreifer tauschten rund 105.000 US-Dollar USDC in 60 ETH um und hielten rund 34.000 US-Dollar USDC-gewertete Options-Token; voraussichtlich beläuft sich der Betrag der nicht zurückerlangbaren Mittel auf etwa 140.000 US-Dollar.

Warum besteht weiterhin ein Sicherheitsrisiko bei stillgelegten DeFi-Verträgen?

Wie im Aztec-Connect-Fall erläutert: Wenn der Vertrag so entworfen ist, dass er nicht verändert werden kann, und das Entwicklungsteam die Admin-Schlüssel aufgegeben hat, kann niemand nach Eintritt des Angriffs den Code reparieren oder pausieren. Stillgelegte Protokolle akzeptieren typischerweise keine Sicherheits-Audit-Updates mehr; sofern der Code weiterhin aufrufbar ist und Mittel gehalten werden, besteht weiterhin das Risiko, angegriffen zu werden.