Інцидент безпеки на платформі Thetanuts Finance
Децентралізована платформа для торгівлі опціонами Thetanuts Finance стала об’єктом кібератаки. За даними аналітичної компанії PeckShieldAlert, зловмисник вивів криптоактиви на суму приблизно 2,1 мільйона доларів США. Фахівці з блокчейн-безпеки компанії Blockaid підтвердили факт інциденту. Причиною стало вразливе місце в обробці математичних розрахунків токенів у смарт-контракті. Представники Blockaid пояснили, що це сталося через помилку в логіці випуску та отримання індексних токенів у сховищі: коли їхня кількість стає критично низькою, розрахунки можуть функціонувати некоректно.
Механізм атаки та часткове повернення коштів
Невідома особа скористалася цією вразливістю, застосувавши атаку “миттєвої позики” (flash loan). Це дозволило штучно знизити загальну пропозицію токенів до мінімального рівня, що викликало помилку округлення в математичній логіці смарт-контракту Thetanuts Finance. Внаслідок цього хакер зміг випустити нові токени практично без витрат. Після цього він оперативно вивів кошти з протоколу, обмінявши 105 000 стейблкоїнів USDC на 60 ETH через пули ліквідності, що ускладнило відстеження активів. На щастя, зловмиснику не вдалося вивести всі криптовалютні активи. Завдяки втручанню неназваних “білих хакерів”, платформа змогла повернути опціонні токени на суму 2 мільйони доларів США. Зловмиснику залишилася лише частина викрадених коштів – приблизно 34 000 доларів США в опціонних токенах, забезпечених USDC. Ці кошти повернути не вдалося.
Реакція Thetanuts Finance та попередні інциденти
Команда Thetanuts Finance заявила, що атака зачепила смарт-контракт, пов’язаний зі застарілим сховищем, яке було виведено з експлуатації кілька років тому. У Thetanuts Finance запевнили, що цей контракт не пов’язаний з активними продуктами проєкту, а сам злам не вплинув на основну платформу. Таким чином, кошти користувачів залишаються в безпеці. Варто зазначити, що нещодавно від подібної хакерської атаки постраждав міст Aztec Connect, який не використовувався з 2023 року. Зі старого смарт-контракту Ethereum невідомі вивели 2,1 мільйона доларів США. Команда проєкту не мала адміністративних ключів, що унеможливлювало контроль за роботою старої системи.
Резюме Crypto Top: Злам Thetanuts Finance, хоч і призвів до значних збитків, підкреслює ризики, пов’язані з застарілими смарт-контрактами. Проте, своєчасне втручання та ізоляція від основних продуктів проєкту дозволили мінімізувати загальний вплив на екосистему.