Thetanuts 旧保险库漏洞致 210 万美元损失 白帽黑客紧急救援

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

Thetanuts Finance 在以太坊网络上遭遇一起涉及约 210 万美元的智能合约漏洞利用事件，攻击者利用一个早已弃用的旧版保险库中的记账缺陷实施攻击。尽管资金损失严重，但约 200 万美元的期权代币头寸在白帽黑客介入后得以保全，避免了更大范围的资产流失。

事件背景：旧合约成安全盲区

此次攻击目标并非 Thetanuts 当前运行的核心产品，而是多年前已停止使用的旧版保险库合约。团队明确表示，该合约与现有协议无任何关联，且早已被废弃。然而，由于其仍持有部分真实价值和可操作路径，成为攻击者可利用的攻击面。

四舍五入漏洞引发免费铸造

攻击路径源于保险库铸造与申领逻辑中的数学边界问题。当总供应量被人为推至极低水平时，合约中基于整数除法的计算公式 depositAmount = vault.balance * amount / totalSupply 会因向下取整导致存款金额被错误评估为零。这使得攻击者可在不投入实际抵押品的情况下，重复调用 mint 函数，实现近乎免费的代币铸造。

此漏洞并非私钥泄露或授权被盗，而是一次由合约逻辑缺陷引发的“记账失败”。攻击者通过闪电贷等手段快速操纵供应状态，将正常情况下微不足道的数学误差转化为高价值攻击向量。

白帽行动阻止全面崩盘

在漏洞利用交易完成后，一名白帽黑客发起独立的“救援”交易，通过 Etherscan 标记的 ThetanutsFi 白帽地址对暴露的头寸进行保护。该操作有效遏制了攻击扩散，使大部分期权代币资产在进一步损失前被锁定并转移至安全通道。

PeckShield 估算此次事件总影响金额接近 210 万美元，其中约 200 万美元被成功挽救。攻击者初始兑换约 10.5 万美元 USDC 为 60 枚 ETH，目前仍持有约 3.4 万美元计价的期权代币。

已弃用合约仍潜藏风险

尽管 Thetanuts 已完成产品迁移，但此次事件揭示了一个关键隐患：以太坊上的智能合约一旦部署便永久存在，即使协议已放弃使用，只要仍有资产、授权或申领路径未清理，就可能成为攻击目标。

此类结构化金融产品尤其脆弱，其依赖复杂的数学计算来管理抵押、结算与赎回。一个看似无害的四舍五入行为，在极端条件下可能演变为系统性漏洞。类似案例包括近期的 Aztec Connect 漏洞，再次提醒开发者与用户：弃用不等于安全。

目前，Thetanuts 团队正开展全面调查，并承诺发布事后分析报告。用户高度关注的问题包括：具体受影响合约地址、被救回资产的最终状态、是否存在未受保护的资金，以及后续如何处理遗留合约的安全暴露问题。

随着加密市场持续演化，链上安全事件频发，选择可靠交易平台至关重要。对于希望及时获取此类事件深度分析与实时行情的用户，推荐通过 币安官网注册 或下载 币安官方下载 的 App 进行快速登录，访问币安官网地址（https://www.Binance.com）获取权威资讯。币安提供全球领先的数字资产交易服务，支持多币种交易、实时行情监控与高级风控工具，是参与 DeFi 安全交易的重要入口。同时，用户也可参考欧易官网下载，了解另一主流平台提供的安全保障与资产管理功能作为补充选择。