Thetanuts: викрадене майно з «廢棄金庫» на суму 2,1 мільйона доларів, білі хакери повернули 2 мільйони

Угода з DeFi-опціонами Thetanuts Finance 16 червня підтвердила, що старий тип сейфу, який було згорнуто багато років тому, зазнав атаки, внаслідок чого втрачено 2,1 млн доларів. Блокчейн-безпекова компанія PeckShieldAlert попередила про інцидент ще до підтвердження з боку Thetanuts і повідомила, що завдяки зусиллям білих хакерів вдалося повернути приблизно 2 млн доларів у вигляді опціонних токенів.

Деталі атаки: дані PeckShieldAlert у ланцюжку

（Джерело: PeckShieldAlert）

Згідно з ончейн-аналізом PeckShieldAlert і підтвердженням Blockaid:

Повернуті кошти: приблизно 2 млн доларів опціонних токенів (завдяки зусиллям білих хакерів)

Конвертація атакувальника: близько 105 тис. доларів USDC, обміняні на приблизно 60 ETH

Володіння атакувальника: близько 34 тис. доларів USDC у цінових опціонних токенах

Незалежне виявлення: система виявлення вразливостей Blockaid незалежно підтвердила атаку, опублікувала сповіщення для спільноти та розкрила адресу атакувальника й адресу контракту, який було використано

Джерело атаки від безпекового дослідника

Безпековий дослідник ExVul у X опублікував звіт про аналіз вразливості та підтвердив, що першопричина — дефект у логіці викупу (redemption) у сейфі. Thetanuts Finance заявила через кілька годин після атаки: «Наше попереднє розслідування показує, що це сейф, який ми багато років тому вже припинили використовувати… це не має жодного стосунку до жодного з наших чинних контрактів чи продуктів». Компанія пообіцяла опублікувати повний звіт про подію після збору додаткових деталей.

Підтверджені випадки атак на застарілі протоколи: Aztec Connect і сукупні втрати за червень

Перед подією Thetanuts Aztec Connect (конфіденційний міст, який припинив технічне обслуговування ще з 2023 року) також втратив 2,1 млн доларів через верифікаційну вразливість у незмінюваних смартконтрактах; оскільки команда відмовилася від усіх ключів адміністраторів, ніхто не міг виправити або зупинити код.

Станом на час повідомлення 16 червня загальний обсяг втрат від атак на DeFi-експлойти у червні 2026 року вже перевищив 46 млн доларів, і цей місяць іще не дійшов до середини.

Поширені запитання

Чинні продукти та контракти Thetanuts зазнали впливу цієї атаки?

Згідно із заявою Thetanuts, атакований був старий сейф, який багато років тому було згорнуто, «це не має жодного стосунку до жодного з наших чинних контрактів чи продуктів». Компанія також підтвердила, що наявні продукти та смартконтракти не зазнали впливу цієї вразливості.

Скільки коштів у підсумку виявилося неможливо повернути?

Згідно з ончейн-аналізом PeckShieldAlert, приблизно 2 млн доларів вдалося повернути завдяки зусиллям білих хакерів; атакувальник обміняв близько 105 тис. доларів USDC на 60 ETH і тримає приблизно 34 тис. доларів USDC у цінових опціонних токенах. Очікувано кошти, які неможливо повернути, становлять близько 140 тис. доларів.

Чому застарілі контракти DeFi досі становлять ризик безпеки?

Згідно з описом кейсу Aztec Connect, якщо контракт спроєктовано як незмінюваний і розробницька команда відмовилася від ключів адміністраторів, ніхто не може після початку атаки виправити або зупинити код. Застарілі протоколи зазвичай більше не отримують оновлення з безпекового аудиту, і доки код можна викликати та зберігаються кошти, ризик атаки залишається.