Penyerang menguras sekitar US$2,1 juta dari vault Thetanuts Finance yang sudah tidak aktif dalam serangan terbaru di Decentralized Finance (DeFi). Pihak whitehat berhasil memulihkan sekitar US$2 juta dalam bentuk opsi token.
Pembobolan ini menimpa vault lama yang protokolnya sudah dimigrasikan sejak beberapa tahun lalu. Thetanuts menyampaikan bahwa vault tersebut tidak berhubungan dengan produk atau sistem aktif mereka saat ini.
Di Balik Eksploitasi DeFi Vault Thetanuts
Perusahaan keamanan blockchain menandai insiden ini di X (sebelumnya Twitter). SlowMist menelusuri akar masalah cacat pembagian integer pada fungsi mint di kontrak tersebut.
Setelah vault dikuras, rumus deposit menghasilkan nilai 0 karena pembulatan pada pembagian integer sehingga penyerang dapat mencetak token secara gratis. Cacat ini akhirnya memungkinkan penciptaan token tanpa batas.
PeckShield mengungkapkan bahwa pelaku swap US$105.000 dalam bentuk USDC (USDC) menjadi sekitar 60 Ethereum (ETH). Wallet tersebut masih menyimpan sekitar US$34.000 dalam bentuk opsi token.
Ikuti kami di X agar tidak ketinggalan berita terbaru
Thetanuts juga menanggapi serangan ini melalui pernyataan publik.
“Investigasi awal kami menunjukkan bahwa ini sekali lagi adalah vault yang telah deprecated, dan sudah kami migrasikan beberapa tahun lalu. Vault ini tidak terkait dengan kontrak atau produk kami saat ini. Kami akan merilis laporan post-mortem setelah memperoleh lebih banyak detail,” ujar tim Thetanuts.
Serangan ini mengikuti pola eksploitasi pada kode lama atau yang tidak aktif. Kontrak lama sering masih aktif di chain meskipun tim sudah berhenti melakukan pemeliharaan.
BeInCrypto pernah melaporkan bahwa penyerang menguras sekitar US$2,1 juta dari Aztec Connect yang sudah deprecated selama tiga tahun. Sementara serangan berbeda menimpa Raydium (RAY) pada legacy liquidity pools hingga sekitar US$1,3 juta.
Langganan channel YouTube kami untuk menyaksikan wawancara dan insight dari pemimpin serta jurnalis berpengalaman
