Thetanuts 廢棄金庫遭駭 210 萬美元，白帽黑客追回 200 萬

DeFi 期权协议 Thetanuts Finance 于 6 月 16 日确认，其多年前已废弃的旧式金库遭受攻击，损失 210 万美元。区块链安全公司 PeckShieldAlert 在 Thetanuts 确认前率先发出警报，并报告称通过白帽黑客的努力，已追回约 200 万美元的期权代币。

攻击细节：PeckShieldAlert 链上数据

（来源：PeckShieldAlert）

根据 PeckShieldAlert 的链上分析及 Blockaid 的确认：

已追回资金：约 200 万美元期权代币（通过白帽黑客努力）

攻击者兑换：约 10.5 万美元 USDC 兑换为约 60 个 ETH

攻击者持有：约 3.4 万美元 USDC 计价期权代币

独立检测：Blockaid 的漏洞检测系统独立确认攻击，发布社群警报，公开了攻击者地址和被利用合约地址

安全研究员的攻击根源

安全研究员 ExVul 在 X 上发布的漏洞分析报告确认，攻击根源为金库赎回逻辑中的缺陷。Thetanuts Finance 在攻击发生后数小时内声明：“我们的初步调查显示，这是一个我们多年前就已弃用的金库……这与我们目前的任何合约或产品都无关。”公司承诺在收集更多细节后发布完整的事后分析报告。

废弃协议攻击确认案例：Aztec Connect 及 6 月累计损失

Thetanuts 事件发生前，Aztec Connect（一个自 2023 年起停止维护的隐私桥接项目）同样因不可篡改智能合约中的验证漏洞损失 210 万美元；由于团队已放弃所有管理员密钥，无人能够修复或暂停代码。

截至 6 月 16 日报道时，2026 年 6 月份 DeFi 漏洞攻击损失总额已超过 4,600 万美元，而本月才刚过半。

常见问题

Thetanuts 现有产品和合约是否受此次攻击影响？

根据 Thetanuts 官方声明，被攻击的是多年前已废弃的旧式金库，“这与我们目前的任何合约或产品都无关”。公司同时确认，现有产品和智能合约不受此次漏洞影响。

此次攻击共有多少资金最终无法追回？

根据 PeckShieldAlert 的链上分析，约 200 万美元已通过白帽黑客努力追回；攻击者兑换了约 10.5 万美元 USDC 为 60 个 ETH，并持有约 3.4 万美元 USDC 计价期权代币，预计无法追回的资金约为 14 万美元。

废弃的 DeFi 合约为何仍然存在安全风险？

根据 Aztec Connect 案例的说明，如果合约设计为不可篡改，且开发团队已放弃管理员密钥，任何人在攻击发生后都无法修复或暂停代码。废弃协议通常不再接受安全审计更新，若代码仍可被调用且持有资金，就仍然面临被攻击的风险。