Заброшенный волт Thetanuts взломали на $2,1 млн — второй такой случай за двое суток

Последнее обновление: 2026/06/16

Что произошло

15 июня 2026 года злоумышленник вывел около $2,1 млн — преимущественно в опционных токенах — из старого «индексного» волта Thetanuts Finance на Ethereum. Контракт протокол давно вывел из эксплуатации, и с текущими продуктами он не связан. Бóльшую часть средств удалось спасти: белый хакер (whitehat) перехватил около $2 млн в опционных токенах, так что чистый ущерб ограничился примерно $100 тыс.

Что произошло
Детали
Что это значит
Контекст

Детали

По данным разборов инцидента, корень проблемы — ошибка округления: при депозите формула из-за целочисленного деления обнулялась, и это позволяло чеканить токены фактически бесплатно, а затем выпускать их без ограничения. Атакующий обменял около $105 тыс. в USDC примерно на 60 ETH; на его кошельке, по данным аналитиков на 15 июня, осталось ещё порядка $34 тыс. в опционных токенах. Активные продукты Thetanuts и средства текущих пользователей не затронуты — уязвимым оказался только давно заброшенный волт, мигрированный командой много лет назад.

Что это значит

Прямых потерь у действующих пользователей нет, но показателен сам объект атаки: это уже второй за двое суток случай, когда взламывают именно заброшенный, выведенный из эксплуатации контракт. Кого касается: тех, у кого остались депозиты или неотозванные разрешения (approvals) в старых DeFi-протоколах, которыми давно не пользуются. Риск предметный — даже мелкий остаток в забытом волте превращается в открытую дверь: в случае Thetanuts под ударом оказались ~$2,1 млн (на 15 июня), и только быстрая реакция вайтхета удержала потери на уровне ~$100 тыс. Горизонт — сейчас: пока «спящий» контракт держит средства и доступы, он остаётся мишенью. Что делать: вывести остатки из неподдерживаемых dApp и отозвать неиспользуемые approvals.

до 5 100 USDT

Bybit · новичкамдо 5 100 USDTBybit дарит новичкам за простые заданияЗабрать бонус

Контекст

Накануне, в ночь на 15 июня, по похожей логике взломали закрытый ещё в 2023 году сервис Aztec Connect — оттуда вывели около $2,19 млн. Складывается закономерность: атакующие целенаправленно ищут старые, никем не обслуживаемые контракты, где исправление бага уже невозможно, а средства всё ещё лежат. Для опционных и других сложных DeFi-протоколов цена ошибки в математике расчётов особенно высока.

до 555%

Bybit · Savingsдо 555%годовых на Savings + до 5 100 USDT новичкам · 3 шагаНачни сейчас

ТЕГИ:defi ethereum security

ИСТОЧНИКИ:CryptoTimes Cryptonews BeInCrypto

ByVolodymyr Polkovnichenko

Связаться:

Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.