Os Thetanuts perdem 2,1 milhões de dólares num cofre abandonado alvo de um ataque, e hackers de chapéu branco recuperam 2,0 milhões

Acordo de opções DeFi Thetanuts Finance confirmou a 16 de junho que o antigo cofre de tipo “legacy”, abandonado há vários anos, foi alvo de um ataque, com perdas de 2,1 milhões de dólares. A empresa de segurança blockchain PeckShieldAlert emitiu um alerta antes da confirmação da Thetanuts e reportou que, através dos esforços de um hacker white-hat, conseguiu recuperar cerca de 2 milhões de dólares em tokens de opções.

Pormenores do ataque: dados on-chain da PeckShieldAlert

（Fonte: PeckShieldAlert）

De acordo com a análise on-chain da PeckShieldAlert e a confirmação da Blockaid:

Fundos recuperados: cerca de 2 milhões de dólares em tokens de opções (por meio de esforços de um hacker white-hat)

Conversão do atacante: cerca de 105 mil dólares em USDC convertidos em cerca de 60 ETH

Detidos pelo atacante: cerca de 34 mil dólares em USDC tokens de opções avaliados em USDC

Deteção independente: o sistema de deteção de vulnerabilidades da Blockaid confirmou independentemente o ataque, publicou um alerta na comunidade e divulgou os endereços do atacante e do contrato explorado

A origem da falha identificada por investigadores de segurança

Um relatório de análise de vulnerabilidades publicado pelo investigador de segurança ExVul na X confirma que a origem do ataque está numa falha na lógica de resgate do cofre. A Thetanuts Finance declarou, poucas horas após o ataque: «A nossa investigação preliminar indica que se trata de um cofre que abandonámos há vários anos… isto não tem qualquer relação com quaisquer dos nossos contratos ou produtos atuais.» A empresa comprometeu-se a publicar um relatório de pós-incidente completo após recolher mais detalhes.

Caso confirmado de ataque a protocolo abandonado: Aztec Connect e perdas acumuladas de junho

Antes do evento Thetanuts, a Aztec Connect (um projeto de ponte de privacidade que deixou de ser mantido desde 2023) também perdeu 2,1 milhões de dólares devido a uma falha de validação em contratos inteligentes imutáveis; como a equipa já tinha abandonado todas as chaves de admin, ninguém conseguiu corrigir ou suspender o código.

Até à data da divulgação a 16 de junho, o total de perdas com ataques a vulnerabilidades DeFi já tinha ultrapassado os 46 milhões de dólares, estando o mês ainda só a meio.

Perguntas frequentes

Os produtos e contratos atuais da Thetanuts foram afetados por este ataque?

De acordo com a declaração oficial da Thetanuts, o alvo foi um cofre antigo do tipo legacy, abandonado há vários anos, «o que não tem qualquer relação com quaisquer dos nossos contratos ou produtos atuais». A empresa confirmou também que os produtos e contratos inteligentes existentes não são afetados por esta vulnerabilidade.

Que quantidade de fundos ficou, no final, sem conseguir ser recuperada?

De acordo com a análise on-chain da PeckShieldAlert, cerca de 2 milhões de dólares já foram recuperados através dos esforços de um hacker white-hat; o atacante converteu cerca de 105 mil dólares em USDC em 60 ETH e detém cerca de 34 mil dólares em tokens de opções avaliados em USDC, prevendo-se que os fundos que não serão recuperados ascendem a cerca de 140 mil dólares.

Porque é que os contratos DeFi abandonados continuam a representar um risco de segurança?

De acordo com a explicação do caso da Aztec Connect, se o desenho do contrato for imutável e a equipa de desenvolvimento tiver abandonado as chaves de admin, ninguém consegue corrigir ou suspender o código após a ocorrência do ataque. Os protocolos abandonados normalmente deixam de receber atualizações de auditoria de segurança; se o código ainda puder ser invocado e houver fundos detidos, continua a existir risco de ser alvo de um ataque.