Thetanuts Finance、非推奨のVaultで210万ドルのエクスプロイト被害; ホワイトハットが資金の大部分を回収

オンチェーンセキュリティ企業のPeckShieldとSlowMistによると、2026年6月15日、攻撃者がEthereum上の非推奨のThetanuts Finance vaultから約210万ドルを流出させましたが、その後ホワイトハットが資金の大部分を回収しました。

何が起こったのか

このエクスプロイトは、レガシーなThetanuts vaultにおける償還計算の欠陥を標的としました。SlowMistは、根本原因をコントラクトのミント機能における整数除算エラーに特定しました。vaultが流出された後、預金式がゼロに切り捨てられ、攻撃者は無料でオプション・トークンをミントし、最終的には無制限に作成できるようになりました。

資金の大部分が回収された

PeckShieldは、約200万ドル相当のオプション・トークンがホワイトハットによって救出されたと報告しました。同社によると、回収前に攻撃者は約105,000ドルのUSDCを約60 ETHと交換することに成功しました。

Thetanutsの対応

Thetanuts Financeは、影響を受けたvaultは数年前に非推奨となり、現在のコントラクトや製品とは一切関係がないと、チームのXでの声明で述べました。プロトコルの稼働中の製品には影響はありませんでした。

非推奨は安全を意味しない

この事件は、レガシーなスマートコントラクトがチームによる使用停止後もオンチェーン上に残り、悪用される可能性があること、そしてホワイトハット研究者が盗まれたDeFi資金の回収において引き続き重要な役割を果たしていることを改めて示しています。ユーザーにとって、実用的な防御策は常に同じです。トークンとそのコントラクトを操作する前に検証することです。

DEXToolsのToken Safety Checkerは、ハニーポット、売買税、ミント機能、およびコントラクトが検証済みであるかどうかを検出し、ラグプルを見つける方法に関するガイドでは、取引前に確認すべき危険信号について説明しています。