Специалисты по блокчейн-безопасности компании Blockaid подтвердили инцидент. Уязвимость возникла из-за проблемы c обработкjq математических расчетов токенов в контракте. В Blockaid объяснили это как ошибку логикb выпуска и получения индексных токенов в хранилище: когда их количество становится слишком маленьким, расчеты могут начать работать некорректно.
Неизвестный воспользовался уязвимостью, применив атаку мгновенного займа, чтобы искусственно снизить общее предложение токенов до критически низкого уровня. Это вызвало ошибку округления в математической логике смарт-контракта Thetanuts Finance, из-за которой хакер смог выпустить новые токены практически с нулевыми затратами. Затем он быстро вывел средства из протокола, обменяв 105 000 стейблкоинов USDC на 60 ETH через пулы ликвидности, усложняя отслеживание средств.
К счастью, злоумышленнику удалось не полностью вывести криптоактивы. Благодаря вмешательству неназванных белых хакеров, платформа смогла вернуть опционные токены на сумму $2 млн. Злоумышленнику досталась лишь часть похищенных средств — примерно $34 000 в опционных токенах, обеспеченных USDC. Эти средства вернуть не удалось.
Команда Thetanuts Finance сообщила, что атака затронула смарт-контракт, связанный с устаревшим хранилищем, которое было выведено из эксплуатации несколько лет назад. В Thetanuts Finance заверили, что контракт не связан с действующими продуктами проекта, а взлом не затронул основную платформу, поэтому средства пользователей находятся в безопасности.
Недавно от хакерской атаки пострадал мост Aztec Connect, заброшенный с 2023 года. Из старого смарт-контракта Эфириума неизвестные вывели $2,1 млн. У команды проекта не было административных ключей, поэтому никто не мог контролировать работу старой системы.
