Thetanuts Finance 遭210万美元攻击，遗留以太坊金库漏洞重现

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

去中心化金融（DeFi）领域持续受到遗留基础设施漏洞的困扰。6月15日，期权协议 Thetanuts Finance 在以太坊上遭遇智能合约漏洞攻击，导致约 210 万美元的初始损失，这些损失主要来自一个长期废弃的合约中的期权代币。

链上监测迅速发现了涉及遗留组件重复铸造和赎回操作的可疑活动。攻击专门针对一个多年前协议已迁移的旧“Index Vault”。该金库与 Thetanuts Finance 当前活跃的产品或智能合约毫无关联。

此事件进一步加剧了 2026 年加密生态系统中不断增多的安全事件。近期的入侵包括钱包受损和跨链基础设施漏洞，引发了对运营安全与智能合约风险管理的广泛担忧。

“我们的初步调查显示，这又是一个多年前已经迁移的废弃金库。它与我们当前任何合约或产品均无关联。我们会在获取更多细节后发布详细分析报告。” —— Thetanuts Finance (@ThetanutsFi) 2026年6月15日

据链上分析，攻击者利用了该遗留金库（合约地址：0xC2C3AE…86Ac7）中脆弱的赎回与铸造机制。根本原因在于错误的份额定价逻辑：当通过销毁将代币供应量降至接近零时，赎回公式（backing * amount / totalSupply）允许超额支付，从而借助闪电贷实现反复的铸造与赎回循环。涉及的关键地址包括攻击者（0x30498e…b41e）、赃款钱包（0xAf3a0F…2299）以及攻击交易（0xbba9f1…9fec）。

PeckShield 报告称，攻击者提取了约 105,000 美元的 USDC，随后换成了约 60 ETH。他们还持有价值约 34,000 美元的其他期权代币。然而，约 200 万美元的期权代币通过白帽干预迅速追回。安全研究人员指出，道德黑客迅速行动，拦截并返还了大部分被盗期权代币，大幅限制了净损失。

#PeckShieldAlert @ThetanutsFi 遭利用损失 210 万美元。约 200 万美元的期权代币已被白帽追回。攻击者将 105,000 美元 USDC 换成约 60 ETH，并持有价值 34,000 美元的期权代币。—— PeckShield 2026年6月15日

Thetanuts Finance 官方账户确认了该事件，并声明：“我们的初步调查显示，这又是一个多年前已经迁移的废弃金库。它与我们当前任何合约或产品均无关联。我们会在获取更多细节后发布详细分析报告。” 此次漏洞事件紧随着今年行业内报告的几起重大安全事件。一系列钱包入侵和跨链安全漏洞表明，攻击者持续瞄准加密基础设施的各个层面，从面向用户的应用到协议级系统。这些事件进一步凸显了整个生态中主动安全监控与快速事件响应的重要性。

Thetanuts Finance 是一个基于 RFQ 报价的链上期权协议，专注于结构化产品，主要提供山寨币期权以及集中流动性部署、Delta 对冲等收益生成策略。该项目曾获得大额融资，包括 2022 年由 Three Arrows Capital、Deribit、QCP Capital 和 Jump Crypto 等知名机构支持的 1800 万美元种子轮，以及 2023 年由 Polychain Capital 领投的 1700 万美元 A 轮融资。它已将自己定位为链上期权基础设施的领导者，近期还通过与 CoinList 合作开展激励计划等方式扩展业务。据市场数据平台显示，截至 2026 年 6 月 16 日，Thetanuts Finance 的原生代币 $NUTS 报价为 0.001165 美元，24 小时价格变化为 -0.64%。该代币市值为 122 万美元，24 小时交易量为 77,420 美元，完全稀释估值（FDV）为 1165 万美元。代币总供应量与最大供应量均为 100 亿枚 NUTS，自我报告的流通供应量约为 10.5 亿枚。

Thetanuts Finance 价格图表

这并非该协议首次发生安全事件。2026 年初，一个新部署的金库曾遭遇“首次存款者攻击”，造成约 5 万美元损失，突显出 DeFi 金库机制中持续存在的风险。近期整个加密领域的诸多事件表明，安全威胁已超出传统智能合约漏洞的范畴。从钱包层面入侵到基础设施相关漏洞，项目越来越需要同时加强代码安全与运营防御，以保护用户资产。

该事件突显了 DeFi 中一个持续存在的挑战：迁移后仍留在链上的遗留合约，如果未妥善弃用或移除，就可能成为负债。安全研究人员一再强调，必须稳健处理边界情况——尤其是近乎零总供应量的场景——在铸造、销毁和赎回函数中。正如本次所见，白帽干预在减轻损失方面继续发挥关键作用，但这种做法也引发了关于协调、激励机制以及去中心化生态中法律灰色地带的讨论。Thetanuts 承诺发布完整的事后分析报告，社区很可能会仔细审视其中关于审计深度、合约退役流程以及极端条件下不变性测试的经验教训。

随着主流加密市场面临监管审查和资本效率要求的双重压力，此类事件及时提醒我们：基础设施韧性仍是 DeFi 可持续发展的基石。