Покинутий волт Thetanuts зламали на $2,1 млн — другий такий випадок за дві доби

Останнє оновлення: 2026/06/16

Що сталося

15 червня 2026 року зловмисник вивів близько $2,1 млн — переважно в опціонних токенах — зі старого «індексного» волта Thetanuts Finance на Ethereum. Цей контракт протокол давно вивів з експлуатації, і з поточними продуктами він не пов’язаний. Більшу частину коштів вдалося врятувати: білий хакер (whitehat) перехопив близько $2 млн в опціонних токенах, тож чиста шкода обмежилася приблизно $100 тис.

Що сталося
Деталі
Що це означає
Контекст

Деталі

За даними розборів інциденту, корінь проблеми — помилка округлення: під час депозиту формула через цілочисельне ділення обнулялася, і це дозволяло карбувати токени фактично безкоштовно, а потім випускати їх без обмеження. Атакувальник обміняв близько $105 тис. у USDC приблизно на 60 ETH; на його гаманці, за даними аналітиків на 15 червня, лишилося ще близько $34 тис. в опціонних токенах. Активні продукти Thetanuts і кошти поточних користувачів не зачеплені — вразливим виявився лише давно покинутий волт, мігрований командою багато років тому.

Що це означає

Прямих втрат у чинних користувачів немає, але показовий сам об’єкт атаки: це вже другий за дві доби випадок, коли зламують саме покинутий, виведений з експлуатації контракт. Кого це стосується: тих, у кого лишилися депозити або невідкликані дозволи (approvals) у старих DeFi-протоколах, якими давно не користуються. Ризик предметний — навіть дрібний залишок у забутому волті перетворюється на відчинені двері: у випадку Thetanuts під ударом опинилися ~$2,1 млн (на 15 червня), і лише швидка реакція вайтхета втримала втрати на рівні ~$100 тис. Горизонт — зараз: поки «сплячий» контракт тримає кошти й доступи, він лишається мішенню. Що робити: вивести залишки з непідтримуваних dApp і відкликати невикористовувані approvals.

до 5 100 USDT

Bybit · новачкамдо 5 100 USDTBybit дарує новачкам за прості завданняЗабрати бонус

Контекст

Напередодні, у ніч проти 15 червня, за схожою логікою зламали закритий ще у 2023 році сервіс Aztec Connect — звідти вивели близько $2,19 млн. Складається закономірність: атакувальники цілеспрямовано шукають старі, ніким не обслуговувані контракти, де виправлення помилки вже неможливе, а кошти все ще лежать. Для опціонних та інших складних DeFi-протоколів ціна помилки в математиці розрахунків особливо висока.

до 555%

Bybit · Savingsдо 555%річних на Savings + до 5 100 USDT новачкам · 3 крокиПочни зараз

ТЕГИ:defi ethereum security

ДЖЕРЕЛА:CryptoTimes Cryptonews BeInCrypto

Поділитися

ByVolodymyr Polkovnichenko

Зв'язатися:

Крипто- та data-аналітик, інженер-програміст (факультет комп'ютерних наук ХНУРЕ). В IT з 2008 року: адміністрував корпоративний моніторинг у «Vodafone Україна», сім років розробляв і просував веб-проєкти, п'ять років керував маркетингом на метриках — конверсія, CTR, ROI, LTV.Криптовалютними ринками займаюся з 2021 року: ончейн-метрики, токеноміка, макроекономічні індикатори. Розробив власну data-driven модель аналізу ринку на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математична статистика та EDA; збір і звірку даних автоматизую AI-агентами.Принцип — «Don't trust, verify»: кожна цифра перевірена за першоджерелом, ключові — щонайменше за двома незалежними; прогнози — лише сценарії з умовами. Теза без даних не публікується.