DeFi-протокол структурированных продуктов Thetanuts Finance подвергся атаке, в результате которой пострадали резервы в опционных токенах на общую сумму $2,1 млн. Инцидент произошёл 15 июня 2026 года и затронул хранилище, выведенное из эксплуатации несколько лет назад.
По данным аналитиков PeckShieldAlert, злоумышленник использовал уязвимость в логике погашения контракта. Однако благодаря оперативному вмешательству «белых хакеров» почти $2 млн в опционных токенах были возвращены ещё до того, как атакующий успел распорядиться всей суммой. Сам хакер успел конвертировать $105 тыс. в USDC в примерно 60 ETH и сохранил опционные токены ещё на $34 тыс.
Исследователь безопасности ExVul опубликовал подробный разбор атаки, указав на ошибку в механизме погашения как на первопричину. Команда Thetanuts оперативно подтвердила факт взлома в соцсети X, подчеркнув: «Предварительное расследование показывает, что речь снова идёт об устаревшем хранилище, мигрированном годы назад. Оно не имеет отношения ни к одному из наших текущих контрактов или продуктов». Протокол обещал предоставить полный отчёт после сбора всей информации.
Атаку также независимо зафиксировала система мониторинга Blockaid, которая опубликовала адрес эксплойт-контракта и адрес злоумышленника.
Инцидент пополнил череду недавних взломов «забытых» DeFi-протоколов: всего несколькими днями ранее мост конфиденциальности Aztec Connect, заброшенный с 2023 года, потерял $2,1 млн из-за аналогичной уязвимости. Общий ущерб от эксплойтов в DeFi за первую половину июня превысил $46 млн, что ставит отрасль перед риском повторения антирекордов мая.
Случай Thetanuts наглядно демонстрирует, что даже деактивированный код и средства в нём остаются мишенью, а значение команд «белых хакеров» в DeFi продолжает расти.
