Thetanuts Finance遭弃用合约攻击，210万美元损失部分追回

核心提要：6月15日，期权协议Thetanuts Finance因一个废弃的旧金库被利用，遭遇约210万美元损失。攻击者通过漏洞实现重复铸造与赎回，但大部分代币被白帽追回。事件凸显链上遗留资产风险与安全响应机制的重要性。

废弃金库漏洞致210万美元损失，白帽行动大幅减损

去中心化金融领域再度曝出重大安全事件。6月15日，以太坊上的期权协议Thetanuts Finance因一个早已迁移的旧合约遭受攻击，造成约210万美元初始损失。该漏洞源于一个长期停用的‘Index Vault’，其与当前协议产品无任何关联。

漏洞根源：近零供应量下的超额赎回机制

链上分析揭示，攻击者利用了该遗留金库中存在缺陷的份额定价逻辑。当代币总供应量趋近于零时，赎回公式（backing * amount / totalSupply）出现异常，允许在闪电贷支持下进行无限循环的铸造与赎回操作，从而实现资金套利。

资金流向与追回进展：多数代币被道德黑客拦截

据PeckShield报告，攻击者将约10.5万美元的USDC兑换为60枚ETH，并持有价值约3.4万美元的其他期权代币。然而，超过200万美元的被盗期权代币经由白帽研究人员迅速追踪并返还，显著降低了实际净损失。

项目背景与历史安全记录：非首次危机

Thetanuts Finance是基于报价请求（RFQ）机制的链上期权协议，专注于山寨币期权及收益策略。该项目曾获Three Arrows Capital、Polychain Capital等知名机构支持，累计融资超3500万美元。尽管定位为基础设施领导者，但其2026年初曾遭遇新部署金库的首次存款者攻击，造成约5万美元损失，暴露持续性风险。

生态警示：从代码到运营的全面防御迫在眉睫

此次事件紧随多起钱包入侵与跨链漏洞，表明攻击面已从单一合约扩展至整个生态链。安全专家强调，必须建立健全的合约退役流程，尤其关注极端边界情况，如接近零供应量的销毁场景。同时，白帽行动虽有效，但也引发关于激励机制与法律模糊地带的讨论。

未来展望：基础设施韧性成可持续发展关键

随着监管压力与资本效率要求提升，此类事件再次敲响警钟：去中心化金融的长期可信度，取决于底层基础设施的稳健性。项目方承诺发布完整事后分析，社区或将据此审视审计深度、不变性测试与应急响应体系的完善路径。