Thetanuts 被 saqueada uma “caixa-forte” abandonada de US$ 2,1 milhões; hacker de chapéu branco recupera US$ 2 milhões

A DeFi de opções Thetanuts Finance confirmou em 16 de junho que um antigo cofre do tipo legado, que havia sido desativado há vários anos, foi alvo de um ataque, causando uma perda de US$ 2,1 milhões. A empresa de segurança blockchain PeckShieldAlert emitiu um alerta antes da confirmação da Thetanuts e informou que, por meio do esforço de hackers de chapéu branco, foram recuperados cerca de US$ 2,0 milhões em tokens de opções.

Detalhes do ataque: dados on-chain da PeckShieldAlert

（Fonte：PeckShieldAlert）

De acordo com a análise on-chain da PeckShieldAlert e a confirmação da Blockaid：

Fundos recuperados：cerca de US$ 2,0 milhões em tokens de opções (por meio do esforço de hackers de chapéu branco)

Conversão do atacante：cerca de US$ 105 mil em USDC trocados por cerca de 60 ETH

Ativos do atacante：cerca de US$ 34 mil em USDC em tokens de opções avaliados

Detecção independente：o sistema de detecção de vulnerabilidades da Blockaid confirmou de forma independente o ataque, publicou um alerta para a comunidade e revelou os endereços do atacante e do contrato explorado

A origem da falha, segundo pesquisadores de segurança

O pesquisador de segurança ExVul publicou no X um relatório de análise de vulnerabilidade confirmando que a falha estava no logic de resgate do cofre. A Thetanuts Finance declarou algumas horas após o ataque: “Nossa investigação inicial indica que se trata de um cofre que já estava desativado havia muitos anos... isso não tem relação com nenhum de nossos contratos ou produtos atuais.” A empresa se comprometeu a publicar um relatório completo de análise pós-incidente após coletar mais detalhes.

Casos confirmados de ataques a protocolos desativados: Aztec Connect e perdas acumuladas em junho

Antes do caso da Thetanuts, o Aztec Connect (um projeto de ponte de privacidade que parou de ser mantido a partir de 2023) também sofreu perda de US$ 2,1 milhões devido a uma falha de validação em um contrato inteligente imutável; como a equipe abandonou todas as chaves de administrador, ninguém conseguiu corrigir ou pausar o código.

Até o momento em que a notícia foi divulgada em 16 de junho, o total de perdas de ataques a vulnerabilidades DeFi em junho de 2026 já ultrapassava US$ 46 milhões, e o mês ainda havia acabado de passar pela metade.

Perguntas frequentes

Os produtos e contratos atuais da Thetanuts foram afetados por este ataque?

De acordo com a declaração oficial da Thetanuts, o alvo do ataque foi um cofre antigo e desativado há vários anos, “o que não tem relação com nenhum de nossos contratos ou produtos atuais”. A empresa também confirmou que os produtos atuais e contratos inteligentes não foram afetados por esta vulnerabilidade.

Quanto do valor total, ao final, ficou impossível de recuperar?

De acordo com a análise on-chain da PeckShieldAlert, cerca de US$ 2,0 milhões foram recuperados por meio do esforço de hackers de chapéu branco; o atacante trocou cerca de US$ 105 mil em USDC por 60 ETH e manteve tokens de opções avaliados em cerca de US$ 34 mil em USDC. O valor previsto como impossível de recuperar é de cerca de US$ 140 mil.

Por que contratos DeFi desativados ainda oferecem risco de segurança?

De acordo com a explicação do caso do Aztec Connect, se o desenho do contrato for imutável e a equipe de desenvolvimento tiver abandonado as chaves de administrador, ninguém poderá corrigir ou pausar o código após o ataque. Em geral, protocolos desativados não mais aceitam atualizações de auditoria de segurança; se o código ainda puder ser chamado e ainda houver fundos em poder do protocolo, o risco de ataque permanece.