摘要:6月15日,链上期权协议Thetanuts Finance因一个废弃的旧金库漏洞遭遇攻击,导致约210万美元损失。尽管攻击者提取部分资产,但超200万美元代币通过白帽行动追回,凸显去中心化生态中遗留组件治理的重要性。
币圈界报道:
废弃金库成安全短板:Thetanuts Finance遭遇链上攻击
去中心化金融领域再度曝出重大安全事件。6月15日,基于以太坊的期权协议Thetanuts Finance确认其一个长期停用的旧合约遭到利用,引发约210万美元的初始资产损失。该漏洞源于一个早已迁移的“Index Vault”金库,与当前运营系统无任何关联。
遗留合约漏洞被利用,闪电贷循环放大损失
链上分析揭示,攻击者通过操纵一个已废弃金库中的赎回与铸造机制实现套利。当代币总供应量趋近于零时,原定的份额定价逻辑出现缺陷,使得赎回公式可被反复触发,结合闪电贷形成无限循环,从而非法生成大量代币。
白帽团队快速响应,大部分资产被成功追回
据PeckShield报告,攻击者将约10.5万美元的USDC兑换为60枚ETH,并持有价值约3.4万美元的其他期权代币。然而,超过200万美元的被盗代币在短时间内由安全研究人员通过白帽行动拦截并返还,显著降低了实际净损失。
项目背景与历史安全记录引关注
Thetanuts Finance作为采用RFQ报价机制的链上期权平台,曾获Three Arrows Capital、Polychain Capital等知名机构支持,完成两轮融资合计逾3500万美元。截至2026年6月16日,其原生代币$NUTS市值达122万美元,完全稀释估值为1165万美元,流通供应量约为10.5亿枚。
持续暴露的风险:从金库到跨链基础设施
此次事件并非首次。2026年初,该协议新部署金库即遭遇“首次存款者攻击”,造成约5万美元损失。近期多起钱包入侵与跨链漏洞表明,攻击面已从代码层扩展至用户端与网络间交互环节,迫使项目方重新审视全链条安全策略。
未来展望:强化退役流程与极端场景测试
安全专家强调,必须对接近零供应量等边界条件进行严格验证,尤其在销毁、铸造和赎回函数中。本次事件再次凸显白帽干预的关键作用,但也引发关于激励机制、责任归属及法律模糊地带的深层讨论。项目方承诺发布事后分析报告,社区预计将重点关注审计深度、合约弃用流程以及极端情况下的不变性保障。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。