Thetanuts взломали заброшенный сейф на 2,1 миллиона долларов: «белые» хакеры вернули (в результате) 2 миллиона

DeFi-протокол опционов Thetanuts Finance 16 июня подтвердил, что старый кастодиальный контракт, который был заброшен много лет назад, подвергся атаке; ущерб составил 2,1 миллиона долларов. Блокчейн-компания по безопасности PeckShieldAlert предупредила о проблеме ещё до подтверждения со стороны Thetanuts и сообщила, что благодаря усилиям white-hat хакеров удалось вернуть около 2 миллионов долларов в виде опционных токенов.

Детали атаки: данные PeckShieldAlert on-chain

（Источник：PeckShieldAlert）

Согласно on-chain-аналитике от PeckShieldAlert и подтверждению со стороны Blockaid:

Возвращённые средства: около 2 миллионов долларов в опционных токенах (благодаря усилиям white-hat хакеров)

Конверсия атакующих: около 105 тыс. долларов USDC было конвертировано примерно в 60 ETH

Средства у атакующих: около 34 тыс. долларов USDC-стоимостные опционные токены

Независимое обнаружение: система обнаружения уязвимостей Blockaid независимо подтвердила атаку, выпустила предупреждение в сообществе и раскрыла адреса атакующих и адреса контрактов, которые были использованы

Корень проблемы, выявленный исследователями безопасности

Исследователь безопасности ExVul в своём отчёте об уязвимости, опубликованном в X, подтвердил, что корень атаки — изъян в логике выкупа (redemption) в кастодиальном контракте. Thetanuts Finance в заявлении спустя несколько часов после атаки сообщил: «Наше предварительное расследование показывает, что это — кастодиальный контракт, который мы много лет назад уже забросили… Это не связано ни с какими нашими текущими контрактами или продуктами». Компания пообещала после сбора дополнительных деталей опубликовать полный пост-инцидентный отчёт.

Подтверждённые случаи атаки на заброшенные протоколы: Aztec Connect и суммарные потери за июнь

Ещё до инцидента Thetanuts Aztec Connect (проект приватного моста, прекращённый в обслуживании с 2023 года) также понёс потери в размере 2,1 миллиона долларов из‑за уязвимости в механизме проверки в неизменяемом смарт-контракте; поскольку команда отказалась от всех ключей администраторов, никто не мог исправить или приостановить код.

По состоянию на 16 июня общий объём потерь от атак DeFi-уязвимостей за июнь 2026 года уже превысил 46 миллионов долларов, при том что месяц только наполовину прошёл.

Часто задаваемые вопросы

Затронуты ли текущие продукты и контракты Thetanuts этой атакой?

Согласно официальному заявлению Thetanuts, атаке подвергся старый кастодиальный контракт, заброшенный много лет назад, «это не связано ни с какими нашими текущими контрактами или продуктами». Компания также подтвердила, что текущие продукты и смарт-контракты не затронуты этой уязвимостью.

Сколько средств в итоге не удалось вернуть?

По on-chain-анализу PeckShieldAlert около 2 миллионов долларов были возвращены благодаря усилиям white-hat хакеров. Атакующие конвертировали около 105 тыс. долларов USDC в 60 ETH и держали опционные токены на сумму около 34 тыс. долларов USDC; ожидаемая сумма средств, которую не удастся вернуть, — порядка 140 тыс. долларов.

Почему заброшенные DeFi-контракты по‑прежнему несут риск безопасности?

Согласно пояснению по кейсу Aztec Connect, если контракт спроектирован как неизменяемый и разработчики отказались от ключей администраторов, то никто не может после начала атаки исправить или приостановить код. Заброшенные протоколы обычно больше не принимают обновления после аудитов безопасности; если код по‑прежнему вызывается и в нём продолжают храниться средства, сохраняется риск атаки.