Les Thetanuts : un coffre-fort abandonné est piraté pour 2,1 millions de dollars, un chapeau blanc récupère 2 millions

Le protocole d’options DeFi Thetanuts Finance a confirmé le 16 juin que de vieux coffres-forts « à l’ancienne » mis au rebut depuis de nombreuses années ont été la cible d’une attaque, causant une perte de 2,1 millions de dollars. La société de sécurité blockchain PeckShieldAlert a lancé une alerte avant même la confirmation par Thetanuts, et a indiqué que grâce aux efforts de hackers white-hat, environ 2 millions de dollars en tokens d’options avaient été récupérés.

Détails de l’attaque : données on-chain de PeckShieldAlert

（來源：PeckShieldAlert）

D’après l’analyse on-chain de PeckShieldAlert et la confirmation de Blockaid :

Fonds récupérés : environ 2 millions de dollars en tokens d’options (grâce aux efforts de hackers white-hat)

Conversion de l’attaquant : environ 105 000 dollars USDC convertis en environ 60 ETH

Actifs détenus par l’attaquant : environ 34 000 dollars USDC valorisés en tokens d’options

Détection indépendante : le système de détection de vulnérabilités de Blockaid confirme indépendamment l’attaque, publie une alerte communautaire, et révèle l’adresse de l’attaquant ainsi que l’adresse du contrat exploité

La cause racine identifiée par les chercheurs en sécurité

Un rapport d’analyse de vulnérabilité publié par le chercheur en sécurité ExVul sur X confirme que l’origine de l’attaque réside dans un défaut de la logique de rachat du coffre-fort. Thetanuts Finance a déclaré, quelques heures après l’attaque : « Nos premières investigations indiquent qu’il s’agit d’un coffre-fort que nous avions mis au rebut depuis de nombreuses années… cela n’a rien à voir avec l’un de nos contrats ou produits actuels. » L’entreprise s’est engagée à publier un rapport d’analyse post-attaque complet après avoir recueilli davantage de détails.

Exemples confirmant les attaques sur des protocoles abandonnés : Aztec Connect et pertes cumulées en juin

Avant l’affaire Thetanuts, Aztec Connect (un projet de pont de confidentialité qui a cessé d’être maintenu depuis 2023) a également subi une perte de 2,1 millions de dollars due à une faille de validation dans un smart contract immuable ; comme l’équipe avait abandonné toutes les clés administrateurs, personne ne pouvait réparer ou suspendre le code.

Au 16 juin, le total des pertes dues aux attaques de vulnérabilités DeFi en juin 2026 avait déjà dépassé 46 millions de dollars, et le mois n’en était qu’à sa mi-parcours.

FAQ

Les produits et contrats actuels de Thetanuts sont-ils affectés par cette attaque ?

D’après la déclaration officielle de Thetanuts, l’attaque a visé un ancien coffre-fort « à l’ancienne » mis au rebut depuis de nombreuses années, « sans aucun lien avec l’un de nos contrats ou produits actuels ». L’entreprise a également confirmé que les produits et smart contracts existants ne sont pas affectés par cette faille.

Quel montant de fonds n’a finalement pas pu être récupéré suite à cette attaque ?

D’après l’analyse on-chain de PeckShieldAlert, environ 2 millions de dollars ont été récupérés grâce aux efforts de hackers white-hat ; l’attaquant a converti environ 105 000 dollars USDC en 60 ETH, et détient des tokens d’options valorisés à environ 34 000 dollars USDC ; on estime que les fonds qui ne pourront pas être récupérés s’élèvent à environ 140 000 dollars.

Pourquoi des contrats DeFi abandonnés présentent-ils encore un risque de sécurité ?

D’après l’explication de l’affaire Aztec Connect, si un contrat est conçu pour être immuable et que l’équipe de développement a renoncé aux clés administrateurs, personne ne peut réparer ou suspendre le code après l’attaque. Les protocoles abandonnés n’acceptent généralement plus de mises à jour d’audit de sécurité ; tant que le code reste appelable et que des fonds sont détenus, le risque d’être attaqué demeure.