Thetanuts Finance sufre un exploit de 2,1 millones de dólares en una bóveda obsoleta; un whitehat recupera la mayoría de los fondos

Un atacante drenó aproximadamente 2,1 millones de dólares de una bóveda obsoleta de Thetanuts Finance en Ethereum el 15 de junio de 2026, antes de que un whitehat recuperara la mayoría de los fondos, según las firmas de seguridad on-chain PeckShield y SlowMist.

Qué sucedió

El exploit se dirigió a una falla en las matemáticas de redención en una bóveda heredada de Thetanuts. SlowMist rastreó la causa raíz a un error de división de enteros en la función de acuñación del contrato: después de que la bóveda fuera drenada, la fórmula de depósito se redondeó a cero, permitiendo al atacante acuñar tokens de opción de forma gratuita y, en última instancia, crearlos sin límite.

La mayoría de los fondos fueron recuperados

PeckShield informó que alrededor de 2 millones de dólares en tokens de opción fueron rescatados por un whitehat. Antes de esa recuperación, el atacante logró intercambiar aproximadamente 105.000 dólares en USDC por unos 60 ETH, dijo la firma.

Respuesta de Thetanuts

Thetanuts Finance dijo que la bóveda afectada fue desaprobada hace años y no tiene relación con ninguno de sus contratos o productos actuales, según la declaración del equipo en X. Los productos en vivo del protocolo no se vieron afectados.

Obsoleto no significa seguro

El incidente es un recordatorio de que los contratos inteligentes heredados permanecen on-chain y son explotables mucho después de que un equipo deja de usarlos, y que los investigadores whitehat continúan desempeñando un papel crítico en la recuperación de fondos DeFi robados. Para los usuarios, la defensa práctica es la misma de siempre: verificar un token y su contrato antes de interactuar con él.

El Token Safety Checker de DEXTools señala honeypots, impuestos de compra y venta, funciones de acuñación y si un contrato está verificado, y nuestra guía sobre cómo detectar un rug pull detalla las señales de alerta a verificar antes de operar.