DeFi 期权协议 Thetanuts Finance 于 6 月 16 日确认,其多年前已废弃的旧式金库遭受攻击,损失 210 万美元。区块链安全公司 PeckShieldAlert 在 Thetanuts 确认前率先发出警报,并报告称通过白帽黑客的努力,已追回约 200 万美元的期权代币。
攻击细节:PeckShieldAlert 链上数据
(来源:PeckShieldAlert)
根据 PeckShieldAlert 的链上分析及 Blockaid 的确认:
已追回资金:约 200 万美元期权代币(通过白帽黑客努力)
攻击者兑换:约 10.5 万美元 USDC 兑换为约 60 个 ETH
攻击者持有:约 3.4 万美元 USDC 计价期权代币
独立检测:Blockaid 的漏洞检测系统独立确认攻击,发布社群警报,公开了攻击者地址和被利用合约地址
安全研究员的攻击根源
安全研究员 ExVul 在 X 上发布的漏洞分析报告确认,攻击根源为金库赎回逻辑中的缺陷。Thetanuts Finance 在攻击发生后数小时内声明:“我们的初步调查显示,这是一个我们多年前就已弃用的金库……这与我们目前的任何合约或产品都无关。”公司承诺在收集更多细节后发布完整的事后分析报告。
废弃协议攻击确认案例:Aztec Connect 及 6 月累计损失
Thetanuts 事件发生前,Aztec Connect(一个自 2023 年起停止维护的隐私桥接项目)同样因不可篡改智能合约中的验证漏洞损失 210 万美元;由于团队已放弃所有管理员密钥,无人能够修复或暂停代码。
截至 6 月 16 日报道时,2026 年 6 月份 DeFi 漏洞攻击损失总额已超过 4,600 万美元,而本月才刚过半。
常见问题
Thetanuts 现有产品和合约是否受此次攻击影响?
根据 Thetanuts 官方声明,被攻击的是多年前已废弃的旧式金库,“这与我们目前的任何合约或产品都无关”。公司同时确认,现有产品和智能合约不受此次漏洞影响。
此次攻击共有多少资金最终无法追回?
根据 PeckShieldAlert 的链上分析,约 200 万美元已通过白帽黑客努力追回;攻击者兑换了约 10.5 万美元 USDC 为 60 个 ETH,并持有约 3.4 万美元 USDC 计价期权代币,预计无法追回的资金约为 14 万美元。
废弃的 DeFi 合约为何仍然存在安全风险?
根据 Aztec Connect 案例的说明,如果合约设计为不可篡改,且开发团队已放弃管理员密钥,任何人在攻击发生后都无法修复或暂停代码。废弃协议通常不再接受安全审计更新,若代码仍可被调用且持有资金,就仍然面临被攻击的风险。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
