2026-06-15,攻击者针对 Thetanuts Finance 已废弃的 Index Vault(`TN-IDX-USDC-PUT`)发起单笔原子交易:在 `totalSupply` 极低时 `mint/claim` 整数除法向下舍入,闪电贷回调内 `claim` 拆底层 Vault 份额、循环 `mint(0)` 还贷,再 `initWithdraw` 提取 USDC。本文还原 Phalcon 调用链、利润构成与白帽救援对比,PoC 见 GitHub `contract-attacks`
