Thetanuts 廃棄金庫がハッキングされ 210 万ドル、ホワイトハットのハッカーが 200 万を回収した

DeFi 選択肢に関するオプション契約：Thetanuts Finance は 6 月 16 日に確認しました。同社の数年前に廃棄していた旧式の金庫が攻撃を受け、損失は 210 万ドルにのぼりました。ブロックチェーン・セキュリティ企業の PeckShieldAlert は、Thetanuts の確認に先立って警報を発し、ホワイトハットハッカーの取り組みにより、約 200 万ドル相当のオプショントークンが回収できたと報告しています。

攻撃の詳細：PeckShieldAlert のオンチェーンデータ

（出典：PeckShieldAlert）

PeckShieldAlert のオンチェーン分析および Blockaid の確認によると：

回収された資金：約 200 万ドル相当のオプショントークン（ホワイトハットハッカーの取り組みによる）

攻撃者の換金：約 10.5 万ドルの USDC が約 60 ETH に換金

攻撃者の保有：約 3.4 万ドル（USDC 換算）のオプショントークン

独立した検知：Blockaid の脆弱性検知システムが攻撃を独立して確認し、コミュニティ向けの警報を公開。攻撃者アドレスおよび悪用されたコントラクトアドレスも明らかにした

セキュリティ研究者が指摘する攻撃の根本原因

X 上でセキュリティ研究者 ExVul が公表した脆弱性分析レポートによれば、攻撃の根本原因は、金庫の払い戻しロジックにある欠陥です。Thetanuts Finance は攻撃発生後数時間以内に声明を出し、「当初の調査では、これは私たちが数年前にすでに廃棄した金庫……であり、現時点のいかなるコントラクトや製品とも関係がありません」と述べました。同社は、さらに詳細を集めた後に完全な事後分析レポートを公開することを約束しています。

廃棄されたプロトコルへの攻撃が確認された事例：Aztec Connect と 6 月の累計損失

Thetanuts の事件が起きる前に、Aztec Connect（2023 年から保守を停止していたプライバシーブリッジ・プロジェクト）もまた、不変（改ざん不能）なスマートコントラクトにおける検証の脆弱性により 210 万ドルを失っていました。チームがすべての管理者の秘密鍵を放棄していたため、誰もコードを修復または停止できませんでした。

6 月 16 日時点の報道によると、2026 年 6 月分の DeFi 脆弱性攻撃による損失総額はすでに 4,600 万ドルを超えており、今月はまだ半分を過ぎたばかりです。

よくある質問

Thetanuts の現行製品およびコントラクトは、今回の攻撃の影響を受けますか？

Thetanuts の公式声明によれば、攻撃を受けたのは数年前に廃棄された旧式の金庫であり、「これは当社の現在のいかなるコントラクトや製品とも関係がありません」。同社はあわせて、現行製品およびスマートコントラクトは今回の脆弱性の影響を受けないことを確認しています。

今回の攻撃で最終的に回収できなかった資金はいくらですか？

PeckShieldAlert のオンチェーン分析によると、約 200 万ドルはホワイトハットハッカーの取り組みによって回収されました。攻撃者は約 10.5 万ドルの USDC を 60 個の ETH に換金し、さらに約 3.4 万ドル（USDC 換算）のオプショントークンを保有しており、回収不能と見込まれる資金は約 14 万ドルです。

廃棄された DeFi コントラクトが依然として安全上のリスクを抱えるのはなぜですか？

Aztec Connect の事例説明によれば、もしコントラクト設計が不変（改ざん不能）であり、かつ開発チームが管理者の秘密鍵を放棄している場合、攻撃発生後に誰もコードを修復または停止できません。廃棄プロトコルは通常、セキュリティ監査の更新を受けなくなります。コードが呼び出し可能で資金が保持されている限り、攻撃されるリスクは依然として残ります。