摘要:6月15日,期权协议Thetanuts Finance因一个废弃多年的旧金库遭攻击,导致约210万美元损失。攻击者利用赎回机制缺陷进行循环套利,但大部分被盗代币被白帽迅速追回。事件凸显去中心化金融中遗留系统管理的深层风险。
币圈界报道:
废弃金库漏洞致210万美元资产流失,白帽行动大幅减损
去中心化金融领域再次暴露基础设施治理短板。2026年6月15日,链上期权协议Thetanuts Finance遭遇针对已废弃合约的智能合约攻击,造成初始损失约210万美元。该漏洞源于一个多年前已迁移的旧“Index Vault”金库,与当前运营系统无任何关联。
旧金库残留逻辑缺陷成攻击入口,闪电贷实现无限循环
链上追踪显示,攻击者利用该遗留金库中存在缺陷的份额定价机制,在代币总供应量趋近于零时触发超额赎回。通过销毁代币并执行特定赎回操作,结合闪电贷支持的快速资金流转,构建出可无限重复的铸造-赎回循环,从而实现资金套取。
多方协同应对:白帽拦截主导损失控制,赃款部分转为ETH
据PeckShield披露,攻击者共提取约10.5万美元USDC,并兑换为60枚以太坊,同时持有价值约3.4万美元的其他期权代币。然而,超过200万美元的被盗期权代币在短时间内被安全研究人员通过白帽行动成功拦截并返还,显著降低净损失。
项目背景与融资历程:曾获顶级资本加持,定位链上期权基建
Thetanuts Finance是一个基于报价请求(RFQ)机制的链上期权协议,专注于山寨币衍生品及集中流动性部署、Delta对冲等策略。其发展获得行业头部机构支持,包括2022年三箭资本、Deribit、QCP Capital和Jump Crypto参与的1800万美元种子轮融资,以及2023年由Polychain Capital领投的1700万美元A轮。截至2026年6月16日,其原生代币$NUTS报0.001165美元,市值122万美元,24小时交易量7.7万美元,完全稀释估值1165万美元。
历史安全记录警示:非首次事件,持续暴露迁移后治理盲区
这并非Thetanuts Finance首次面临安全挑战。年初,其新部署金库即遭遇“首存者攻击”,导致约5万美元损失。此次事件再次揭示:即便协议完成功能迭代,若未彻底清除链上遗留组件,仍可能成为潜在攻击跳板。从钱包入侵到跨链基础设施漏洞,威胁已蔓延至整个生态层级。
未来防范方向:强化边界测试与去中心化响应机制
专家指出,本次事件暴露出对极端场景(如接近零供应量)缺乏充分验证的问题。尽管白帽干预有效缓解损失,但其协调效率、激励合理性及法律模糊性也引发讨论。项目方承诺发布完整事后分析报告,社区将重点关注审计深度、合约退役流程与不可变性测试经验。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。