Saltar al contenido
Est. MMXXVIVol. VI · № 289RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 289Fallo de smart contract

Exploit de un vault obsoleto de Thetanuts Finance

Un fallo de redondeo en un vault obsoleto de Thetanuts permitió acuñar tokens de opción gratis y drenar unos $2,1M en Ethereum; los white-hats recuperaron cerca de $2M.

Fecha
Víctima
Thetanuts Finance
Cadena(s)
Ethereum
Estado
Parcialmente recuperado

El 15 de junio de 2026, Thetanuts Finance perdió aproximadamente 2,1 millones de dólares cuando un atacante explotó un fallo de redondeo por división entera en un vault de opciones ya obsoleto en Ethereum. El error permitió al atacante acuñar tokens de opción del vault prácticamente gratis y canjearlos contra la garantía restante del vault. Thetanuts subrayó que el vault afectado había sido migrado años antes y que no tiene conexión con sus productos activos ni con sus sistemas actuales.

Qué ocurrió

Las firmas de seguridad SlowMist, PeckShield y Blockaid rastrearon la causa raíz hasta la función mint del contrato: debido al redondeo durante la división entera, la fórmula de depósito podía evaluarse en 0, permitiendo acuñar tokens sin pagar por ellos. Los depósitos repetidos posibilitaron entonces una creación de tokens prácticamente ilimitada, que el atacante usó para drenar el saldo del vault obsoleto. El contrato heredado había sido descontinuado mucho antes del incidente, pero seguía activo on-chain — dejando una superficie de ataque pequeña y olvidada que un oportunista terminó encontrando.

Consecuencias

Defensores white-hat recuperaron alrededor de 2 millones de dólares en tokens de opción mediante un proceso de contraexploit/recuperación, dejando una pérdida neta comparativamente pequeña. PeckShield informó de que el atacante intercambió unos 105.000 USDC por aproximadamente 60 ETH y retuvo un estimado de 34.000 dólares en tokens de opción basados en USDC que no se recuperaron. Dado que se devolvió la mayor parte del valor, el incidente se clasifica aquí como parcialmente recuperado.

Por qué importa

Thetanuts es un caso de manual de dos temas recurrentes del catálogo. Primero, los contratos descontinuados pero todavía activos son una superficie de ataque real — la misma lección que el resolver de 1inch (antiguo bug de Fusion v1), el contrato heredado de Aevo y el exploit de Yearn iEarn; retirar un producto no es lo mismo que eliminar su código de la cadena. Segundo, muestra cómo los casos límite de redondeo y división entera en la matemática de mint/depósito siguen siendo una clase de error silenciosamente peligrosa. El final relativamente feliz — la mayor parte de los fondos devuelta vía recuperación white-hat — también refleja el desenlace hoy dominante para exploits inferiores a $10M donde los fondos robados permanecen identificables on-chain.

Fuentes y evidencia on-chain

  1. [01]cryptopolitan.comhttps://www.cryptopolitan.com/hack-deprecated-thetanuts-vault/
  2. [02]finance.yahoo.comhttps://finance.yahoo.com/markets/crypto/articles/deprecated-thetanuts-vault-exploited-2-042138909.html
  3. [03]cryptonews.nethttps://cryptonews.net/news/security/33013753/
  4. [04]crypto-economy.comhttps://crypto-economy.com/thetanutsfi-suffers-2-1-million-exploit-white-hat-recovers-most-funds/

Registros relacionados