Thetanuts 廢棄金庫遭駭 210 萬美元，白帽黑客追回 200 萬

DeFi 選擇權協議 Thetanuts Finance 於 6 月 16 日確認，其多年前已廢棄的舊式金庫遭受攻擊，損失 210 萬美元。區塊鏈安全公司 PeckShieldAlert 在 Thetanuts 確認前率先發出警報，並報告透過白帽黑客的努力，已追回約 200 萬美元的選擇權代幣。

攻擊細節：PeckShieldAlert 鏈上數據

（來源：PeckShieldAlert）

根據 PeckShieldAlert 的鏈上分析及 Blockaid 的確認：

已追回資金：約 200 萬美元選擇權代幣（透過白帽黑客努力）

攻擊者兌換：約 10.5 萬美元 USDC 兌換為約 60 個 ETH

攻擊者持有：約 3.4 萬美元 USDC 計價選擇權代幣

獨立偵測：Blockaid 的漏洞偵測系統獨立確認攻擊，發布社群警報，公開了攻擊者地址和被利用合約地址

安全研究員的攻擊根源

安全研究員 ExVul 在 X 上發布的漏洞分析報告確認，攻擊根源為金庫贖回邏輯中的缺陷。Thetanuts Finance 在攻擊發生後數小時內聲明：「我們的初步調查顯示，這是一個我們多年前就已棄用的金庫……這與我們目前的任何合約或產品都無關。」公司承諾在收集更多細節後發布完整的事後分析報告。

廢棄協議攻擊確認案例：Aztec Connect 及 6 月累計損失

Thetanuts 事件發生前，Aztec Connect（一個自 2023 年起停止維護的隱私橋接項目）同樣因不可篡改智能合約中的驗證漏洞損失 210 萬美元；由於團隊已放棄所有管理員密鑰，無人能夠修復或暫停程式碼。

截至 6 月 16 日報道時，2026 年 6 月份 DeFi 漏洞攻擊損失總額已超過 4,600 萬美元，而本月才剛過半。

常見問題

Thetanuts 現有產品和合約是否受此次攻擊影響？

根據 Thetanuts 官方聲明，被攻擊的是多年前已廢棄的舊式金庫，「這與我們目前的任何合約或產品都無關」。公司同時確認，現有產品和智能合約不受此次漏洞影響。

此次攻擊共有多少資金最終無法追回？

根據 PeckShieldAlert 的鏈上分析，約 200 萬美元已透過白帽黑客努力追回；攻擊者兌換了約 10.5 萬美元 USDC 為 60 個 ETH，並持有約 3.4 萬美元 USDC 計價選擇權代幣，預計無法追回的資金約為 14 萬美元。

廢棄的 DeFi 合約為何仍然存在安全風險？

根據 Aztec Connect 案例的說明，如果合約設計為不可篡改，且開發團隊已放棄管理員密鑰，任何人都無法在攻擊發生後修復或暫停程式碼。廢棄協議通常不再接受安全審計更新，若程式碼仍可被調用且持有資金，就仍然面臨被攻擊的風險。