Thetanuts 遭 tin tặc xâm nhập kho tiền bị bỏ hoang, thiệt hại 2,1 triệu USD; tin tặc mũ trắng truy hồi 2 triệu USD

Thỏa thuận quyền chọn DeFi Thetanuts Finance vào ngày 16 tháng 6 đã xác nhận rằng một kho dự trữ cũ theo kiểu cũ đã bị loại bỏ từ nhiều năm trước đã bị tấn công, gây thiệt hại 2,1 triệu USD. Công ty an ninh blockchain PeckShieldAlert đã phát cảnh báo trước khi Thetanuts xác nhận và cho biết, nhờ nỗ lực của các hacker mũ trắng, đã thu hồi khoảng 2 triệu USD token quyền chọn.

Chi tiết cuộc tấn công: Dữ liệu trên chuỗi của PeckShieldAlert

（Nguồn：PeckShieldAlert）

Theo phân tích on-chain của PeckShieldAlert và xác nhận của Blockaid:

Khoản tiền đã thu hồi：khoảng 2 triệu USD token quyền chọn (thông qua nỗ lực của hacker mũ trắng)

Kẻ tấn công quy đổi：khoảng 105 nghìn USD USDC đổi lấy khoảng 60 ETH

Kẻ tấn công đang nắm giữ：khoảng 34 nghìn USD USDC định giá token quyền chọn

Phát hiện độc lập：Hệ thống phát hiện lỗ hổng của Blockaid xác nhận độc lập cuộc tấn công, đăng cảnh báo trong cộng đồng, công khai địa chỉ của kẻ tấn công và địa chỉ hợp đồng bị khai thác

Nguồn gốc lỗ hổng trong báo cáo của nhà nghiên cứu bảo mật

Nhà nghiên cứu bảo mật ExVul trong báo cáo phân tích lỗ hổng được đăng trên X đã xác nhận nguồn gốc tấn công nằm ở lỗi trong logic hoàn trả của kho dự trữ. Thetanuts Finance cho biết trong vòng vài giờ sau khi xảy ra tấn công: “Điều tra ban đầu của chúng tôi cho thấy đây là một kho dự trữ mà chúng tôi đã bỏ từ nhiều năm trước… điều này không liên quan đến bất kỳ hợp đồng hoặc sản phẩm nào hiện tại của chúng tôi.” Công ty cam kết sẽ công bố báo cáo phân tích hậu sự đầy đủ sau khi thu thập thêm chi tiết.

Xác nhận các vụ tấn công vào giao thức bị bỏ hoang: Aztec Connect và tổng thiệt hại lũy kế trong tháng

Trước sự kiện Thetanuts, Aztec Connect (một dự án cầu nối quyền riêng tư đã ngừng bảo trì từ năm 2023) cũng từng thiệt hại 2,1 triệu USD do lỗ hổng xác thực trong smart contract bất biến; vì đội ngũ đã từ bỏ toàn bộ khóa quản trị nên không ai có thể sửa hoặc tạm dừng mã nguồn.

Tính đến thời điểm báo cáo ngày 16 tháng 6, tổng mức lỗ từ các cuộc tấn công lỗ hổng DeFi trong tháng 6 năm 2026 đã vượt 46 triệu USD, trong khi tháng này mới chỉ đi được nửa chặng đường.

Câu hỏi thường gặp

Sản phẩm và hợp đồng hiện có của Thetanuts có bị ảnh hưởng bởi đợt tấn công này không?

Theo tuyên bố chính thức của Thetanuts, mục tiêu bị tấn công là kho dự trữ cũ đã bị loại bỏ từ nhiều năm trước, “điều này không liên quan đến bất kỳ hợp đồng hoặc sản phẩm nào hiện tại của chúng tôi”. Công ty cũng xác nhận rằng các sản phẩm hiện có và smart contract không bị ảnh hưởng bởi lỗ hổng lần này.

Có bao nhiêu khoản tiền cuối cùng không thể thu hồi từ cuộc tấn công này?

Theo phân tích on-chain của PeckShieldAlert, khoảng 2 triệu USD đã được thu hồi nhờ nỗ lực của hacker mũ trắng; kẻ tấn công đã quy đổi khoảng 105 nghìn USD USDC thành 60 ETH và nắm giữ token quyền chọn được định giá khoảng 34 nghìn USD USDC, dự kiến phần tiền không thể thu hồi là khoảng 140 nghìn USD.

Vì sao các hợp đồng DeFi bị bỏ hoang vẫn tồn tại rủi ro bảo mật?

Theo mô tả vụ Aztec Connect, nếu thiết kế hợp đồng là bất biến và đội ngũ phát triển đã từ bỏ khóa quản trị, thì không ai có thể sửa hoặc tạm dừng mã nguồn sau khi xảy ra cuộc tấn công. Các giao thức bị bỏ hoang thường không còn nhận cập nhật kiểm toán bảo mật; nếu mã nguồn vẫn có thể được gọi và vẫn nắm giữ tài sản, thì vẫn có nguy cơ bị tấn công.