La bóveda abandonada de Thetanuts fue hackeada por 2,1 millones de dólares; un hacker de sombrero blanco recuperó 2 millones

El acuerdo de opciones DeFi Thetanuts Finance confirmó el 16 de junio que una antigua bóveda, desechada desde hace años, fue atacada, con una pérdida de 2,1 millones de dólares. La empresa de seguridad blockchain PeckShieldAlert emitió una alerta antes de que Thetanuts confirmara y reportó que, gracias a los esfuerzos de los white-hat hackers, se recuperaron aproximadamente 2 millones de dólares en tokens de opciones.

Detalles del ataque: datos on-chain de PeckShieldAlert

(Fuente: PeckShieldAlert)

Según el análisis on-chain de PeckShieldAlert y la confirmación de Blockaid:

Fondos recuperados: aproximadamente 2 millones de dólares en tokens de opciones (mediante los esfuerzos de white-hat hackers)

Canje del atacante: aproximadamente 105 mil dólares en USDC canjeados por aproximadamente 60 ETH

Fondos en poder del atacante: aproximadamente 34 mil dólares en tokens de opciones valorados en USDC

Detección independiente: el sistema de detección de vulnerabilidades de Blockaid confirmó de forma independiente el ataque, publicó una alerta a la comunidad y dio a conocer las direcciones del atacante y del contrato explotado.

La raíz del ataque según investigadores de seguridad

El investigador ExVul confirmó en un informe de análisis de vulnerabilidades publicado en X que la causa raíz del ataque está en un defecto en la lógica de redención de la bóveda. Thetanuts Finance declaró unas horas después del ataque: «Nuestra investigación preliminar muestra que se trata de una bóveda que abandonamos hace muchos años... Esto no tiene relación con ninguno de nuestros contratos o productos actuales». La empresa se comprometió a publicar un informe completo de análisis posterior, después de recopilar más detalles.

Confirmación de casos de ataques en protocolos abandonados: Aztec Connect y pérdidas acumuladas de junio

Antes del incidente de Thetanuts, Aztec Connect (un proyecto de puente de privacidad que dejó de recibir mantenimiento desde 2023) también sufrió una pérdida de 2,1 millones de dólares debido a una vulnerabilidad de verificación en contratos inteligentes inmutables; como el equipo había abandonado todas las claves de los administradores, nadie podía reparar ni pausar el código.

Al 16 de junio, el total de pérdidas por ataques de vulnerabilidades DeFi en junio de 2026 ya superaba los 46 millones de dólares, y apenas va a la mitad de este mes.

Preguntas frecuentes

¿Los productos y contratos actuales de Thetanuts se ven afectados por este ataque?

Según la declaración oficial de Thetanuts, lo atacado fue una antigua bóveda desechada desde hace años, «lo cual no tiene relación con ninguno de nuestros contratos o productos actuales». La empresa también confirmó que los productos y contratos inteligentes existentes no se ven afectados por esta vulnerabilidad.

¿Cuánto dinero no se pudo recuperar finalmente en este ataque?

Según el análisis on-chain de PeckShieldAlert, aproximadamente 2 millones de dólares se recuperaron mediante los esfuerzos de los white-hat hackers; el atacante canjeó aproximadamente 105 mil dólares en USDC por 60 ETH y tiene alrededor de 34 mil dólares en tokens de opciones valorados en USDC; se estima que los fondos que no podrán recuperarse serían de aproximadamente 140 mil dólares.

¿Por qué los contratos DeFi abandonados aún representan un riesgo de seguridad?

Según la explicación del caso de Aztec Connect, si el diseño del contrato es inmutable y el equipo de desarrollo ya abandonó las claves de los administradores, nadie puede reparar ni pausar el código después de que ocurra el ataque. Los protocolos abandonados normalmente ya no aceptan actualizaciones de auditoría de seguridad; si el código todavía puede ser invocado y hay fondos en poder del sistema, aún existe el riesgo de ser atacado.