Thetanuts旧合约漏洞致210万美金攻击，白帽英雄救场

核心提要：以太坊上Thetanuts Finance因旧版保险库合约的四舍五入漏洞遭遇约210万美元攻击，一名白帽黑客介入阻止损失扩大。事件揭示已弃用合约仍潜藏风险，引发对遗留代码安全性的广泛讨论。

旧版保险库漏洞引发210万美元攻击，白帽行动成功拦截资金外流

Thetanuts Finance在以太坊网络上遭遇一起价值约210万美元的智能合约漏洞利用事件，攻击者利用一个早已废弃的保险库合约中的记账缺陷实施攻击。值得注意的是，约200万美元的期权代币头寸在后续由一名白帽黑客通过独立交易成功保全。

已废弃协议仍存风险，核心系统未受波及

此次攻击目标为一个多年前停止使用的旧版保险库合约，与当前运营的协议产品无任何关联。团队确认该合约已被正式弃用，其逻辑和数据不再参与主链交互。调查完成后，官方将发布详细的事后分析报告，澄清事件全貌。

数学边界被操纵，零成本铸造成可能

攻击路径源于保险库铸造与申领机制中的一处整数除法边界问题。当总供应量被人为压至极低水平时，mint函数中的向下取整运算导致所需存款金额计算为零。原本应遵循 depositAmount = vault.balance * amount / totalSupply 的公式，在极端条件下变为无效，使攻击者可无需真实抵押即可生成大量申领权。

此漏洞并非因私钥泄露或授权被滥用所致，而是一种典型的合约记账偏差。攻击者通过精确操控供应状态，触发了本应被忽略的数学异常，从而实现近乎免费的代币铸造。

废弃合约仍具威胁，历史代码不容忽视

尽管当前协议运行正常，但本次事件凸显了一个关键问题：一旦智能合约部署于链上，即便被弃用，其承载的价值与逻辑仍可能成为攻击入口。若仍有资产、授权或申领路径绑定在旧合约上，便可能成为潜在攻击面。

尤其在结构化金融产品中，如期权保险库、指数代币及流动性记账机制，其依赖的数学模型在低供应或高波动状态下极易暴露异常。一个微小的四舍五入行为，经由闪电贷等工具放大后，即可演变为严重漏洞。

白帽救援虽有效遏制了损失蔓延，但事件暴露的深层隐患仍需解决。用户普遍关注：具体受影响合约地址、被保护资产的状态、是否存在未被覆盖的资金风险，以及团队对遗留合约的清理计划。