近日,攻击者利用已弃用的 Thetanuts Finance 金库发起攻击,导致约 210 万美元资金被盗,这是最新一起去中心化金融(DeFi)安全事件。白帽黑客在紧急响应中追回了约 200 万美元的期权代币。
本次攻击发生在一个多年前已完成迁移的旧金库合约。Thetanuts 官方表示,该金库与其当前所有产品及系统均无关联。
Thetanuts 金库 DeFi 漏洞详情解析
多家区块链安全公司在 X(原推特)平台先后发布了预警。SlowMist(慢雾)追踪发现,事故根源为合约 mint 函数中的整数除法缺陷。
漏洞被利用后,由于整数除法四舍五入导致金库存款逻辑评估结果为 0,黑客可免费铸造代币。最终,此缺陷造成无限代币被铸造的严重后果。
PeckShield 进一步披露,攻击者曾将价值 10.5 万美元的 $USDC 兑换成约 60 枚 $ETH。目前,涉案钱包仍持有约 3.4 万美元的期权代币。
Thetanuts 团队已就本次漏洞事件公开回应。
“初步调查显示,这起事件再次涉及我们多年前已完成迁移的历史金库。该漏洞与当前任何合约或产品均无关联。待更多细节披露后,我们将发布详细事故复盘报告,”团队表示。
此次事件再次暴露出存续于链上的过时、无人维护代码所带来的安全隐患。许多团队虽已弃用相关合约,但这些旧代码依然在链上运行,成为攻击对象。
BeInCrypto 此前报道,攻击者曾利用三年前弃用的 Aztec Connect 合约,盗取约 210 万美元。另一起盗款事件中,Raydium($RAY)老版本流动性池也被攻击,损失约 130 万美元。
订阅我们的 YouTube 频道,聆听行业领袖与权威专家深度解析
