DeFi สัญญาออปชัน Thetanuts Finance ยืนยันเมื่อวันที่ 16 มิถุนายนว่า สะสมทรัพย์แบบเก่าที่ถูกทิ้งไปหลายปีก่อนหน้านี้ถูกโจมตี ทำให้เกิดความเสียหาย 2.1 ล้านดอลลาร์ บริษัทรักษาความปลอดภัยบนบล็อกเชน PeckShieldAlert ออกคำเตือนล่วงหน้าก่อนที่ Thetanuts จะยืนยัน และรายงานว่า จากความพยายามของแฮกเกอร์ขาว ได้มีการดึงคืนออปชันโทเคนมูลค่าประมาณ 2 ล้านดอลลาร์แล้ว
รายละเอียดการโจมตี:ข้อมูลบนเชนจาก PeckShieldAlert
(ที่มา:PeckShieldAlert)
จากการวิเคราะห์ข้อมูลบนเชนของ PeckShieldAlert และการยืนยันโดย Blockaid:
เงินที่ดึงคืนได้:โทเคนสัญญาออปชันมูลค่าประมาณ 2 ล้านดอลลาร์(ผ่านความพยายามของแฮกเกอร์ขาว)
ผู้โจมตีแลกเปลี่ยน:ประมาณ 105,000 ดอลลาร์ USDC แลกเป็นประมาณ 60 ETH
ผู้โจมตียังคงถืออยู่:โทเคนสัญญาออปชันที่ตีราคาเป็น USDC มูลค่าประมาณ 34,000 ดอลลาร์
การตรวจจับอิสระ:ระบบตรวจจับช่องโหว่ของ Blockaid ยืนยันการโจมตีอย่างอิสระ เผยแพร่คำเตือนในชุมชน และเปิดเผยที่อยู่ของผู้โจมตี รวมถึงที่อยู่ของสัญญาที่ถูกนำไปใช้ประโยชน์
รากเหง้าของการโจมตีจากนักวิจัยความปลอดภัย
นักวิจัยความปลอดภัย ExVul เผยแพร่รายงานวิเคราะห์ช่องโหว่บน X ยืนยันว่า รากเหง้าของการโจมตีมาจากข้อบกพร่องในตรรกะการไถ่ถอนของคลังสะสมทรัพย์ Thetanuts Finance ออกแถลงการณ์ภายในไม่กี่ชั่วโมงหลังเหตุโจมตีว่า “การสอบสวนเบื้องต้นของเราแสดงว่านี่คือคลังสะสมทรัพย์ที่เราทิ้งไปหลายปีก่อน…ซึ่งไม่มีความเกี่ยวข้องกับสัญญาใดๆ หรือผลิตภัณฑ์ปัจจุบันของเรา” บริษัทให้คำมั่นว่าจะเผยแพร่รายงานการวิเคราะห์เชิงละเอียดหลังเหตุการณ์เมื่อรวบรวมรายละเอียดได้มากขึ้น
ยืนยันเหตุโจมตีต่อโปรโตคอลที่ถูกทิ้งร้าง:Aztec Connect และความสูญเสียสะสมในเดือนมิถุนายน
ก่อนเหตุการณ์ของ Thetanuts Aztec Connect (โปรเจกต์บริดจ์ความเป็นส่วนตัวที่หยุดดูแลตั้งแต่ปี 2023) ก็สูญเสีย 2.1 ล้านดอลลาร์เช่นกันจากช่องโหว่ในการยืนยันในสัญญาอัจฉริยะที่ไม่สามารถแก้ไขได้ เนื่องจากทีมได้ทิ้งคีย์ผู้ดูแลทั้งหมด จึงไม่มีใครสามารถแก้ไขหรือหยุดการทำงานของโค้ดได้
ณ เวลาเมื่อวันที่ 16 มิถุนายนที่มีการรายงาน ยอดความสูญเสียจากการโจมตีช่องโหว่ในระบบ DeFi ในเดือนมิถุนายน 2026 มีมูลค่ารวมเกิน 46 ล้านดอลลาร์แล้ว และในเดือนนี้ยังมาไม่ถึงครึ่งทาง
คำถามที่พบบ่อย
ผลิตภัณฑ์และสัญญาปัจจุบันของ Thetanuts ได้รับผลกระทบจากการโจมตีครั้งนี้หรือไม่?
จากแถลงการณ์อย่างเป็นทางการของ Thetanuts สิ่งที่ถูกโจมตีคือคลังสะสมทรัพย์แบบเก่าที่ถูกทิ้งไปหลายปีก่อน “ซึ่งไม่มีความเกี่ยวข้องกับสัญญาใดๆ หรือผลิตภัณฑ์ปัจจุบันของเรา” บริษัทได้ยืนยันด้วยว่า ผลิตภัณฑ์และสัญญาอัจฉริยะที่มีอยู่ในปัจจุบันไม่ได้รับผลกระทบจากช่องโหว่นี้
สุดท้ายมีเงินจำนวนเท่าใดที่ไม่สามารถดึงคืนได้จากการโจมตีครั้งนี้?
จากการวิเคราะห์บนเชนของ PeckShieldAlert ประมาณ 2 ล้านดอลลาร์ถูกดึงคืนได้แล้วผ่านความพยายามของแฮกเกอร์ขาว ผู้โจมตีแลกเปลี่ยน USDC มูลค่าประมาณ 105,000 ดอลลาร์เป็น 60 ETH และถือโทเคนสัญญาออปชันที่ตีราคาเป็น USDC มูลค่าประมาณ 34,000 ดอลลาร์ คาดว่ากองทุนที่คาดว่าจะดึงคืนไม่ได้อยู่ที่ราว 140,000 ดอลลาร์
เหตุใดสัญญา DeFi ที่ถูกทิ้งร้างยังคงมีความเสี่ยงด้านความปลอดภัย?
จากคำอธิบายในกรณีของ Aztec Connect หากสัญญาถูกออกแบบให้ไม่สามารถแก้ไขได้ และทีมพัฒนาทิ้งคีย์ผู้ดูแลไปแล้ว จะไม่มีใครสามารถซ่อมแซมหรือหยุดโค้ดได้หลังเกิดการโจมตี โปรโตคอลที่ถูกทิ้งร้างมักจะไม่รับการอัปเดตจากการตรวจสอบความปลอดภัยอีก และหากโค้ดยังสามารถถูกเรียกใช้งานได้และยังมีเงินคงอยู่ ก็ยังคงเผชิญความเสี่ยงที่จะถูกโจมตีได้
