攻撃者は6月14日、3年前に終了したプライバシープロトコルの検証不備を突き、Aztec Connectから210万ドル超を流出させた。
重要ポイント:
- 攻撃者は、プロトコルが終了してから3年後の6月14日にAztec Connectから約219万ドルを引き出した。
- この攻撃はコントラクトの証明検証の抜け穴を悪用し、入金で裏付けられていない残高から出金できるようにした。
- Aztec Labsは管理者キーを一切保持しておらず、不変コントラクトを一時停止・アップグレードできないと述べた。
CertiKがAztec Connectからの流出を検知
CertiKは、攻撃発生から数時間以内に不審な挙動を捉えた。同社は、廃止されたブリッジの中核コンポーネントであるEthereum上のRollupProcessorV3コントラクトからの資金流出をflaggedした。セキュリティ企業のBlockSecもすぐに同様の侵害を確認し、当初はコード内のアクセス制御の欠如を疑った。
脆弱性は、コントラクトが証明データを検証する方法に潜んでいた。ある経路ではトランザクション全体を検証していた一方で、決済ロジックは同じデータを別のかたちでreadしていた。この不一致により、実際には何も裏付けがないにもかかわらず価値を計上できるようになり、入金で支えられていない残高が生じた。
攻撃者はこの手口を、1回の実行で7種類の資産に対して行った。流出額には、909 Ether (ETH)、約27万 Dai (DAI)、167のラップドステークドEther、さらにいくつかのイールドトークンが含まれる。オンチェーン記録によると、資金はミキシングサービスを通じて事前に資金供給された新規ウォレットに送られており、攻撃が綿密に準備されていたことを示している。
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labsは管理者キーを保持せず
Aztec Foundationは、アラート発出から間もなく今回のインシデントを確認し、今回の侵害はAZTEC (AZTEC)トークンおよび稼働中のAztecネットワークには一切影響しないとx.comで強調した。トークン価格は一日を通じて約1セント付近でほぼ動かず、2022年にローンチされた退役済みブリッジは2023年3月以降休止状態のままだ。
Aztec Labsは介入できないと説明した。廃止されたコントラクトには管理者キーが存在しないため、誰もそれらを一時停止したりアップグレードしたりできない。開発者のParamは、ブリッジ終了時点でコードは完全に不変な状態になったとexplainedしている。調査チームは今もネットワーク上で盗難資金の追跡を続けている。
放置されたDeFiコントラクトのリスクは続く
今回の一件は、業界が何度も学び直している問題を改めて浮き彫りにした。すなわち、プロジェクトチームが離れた後も「死んだ」プロトコルには本物の資金が残り続けるという点だ。不変コードは、一度脆弱性が明らかになっても修正できない。そのため、いわゆるゾンビコントラクトと呼ばれるこうした放置システムは、何年にもわたり攻撃にさらされることになる。
今回の流出は、オンチェーンセキュリティにとって厳しい局面に追い打ちをかけた。今月発生した攻撃は少なくとも十数件にのぼり、合計被害額は約4,400万ドルに達している。ここ数週間で複数の小規模プロトコルが被害を受けた。この集計は4月の惨状に続くものだ。4月には2件の大規模攻撃だけで月間損失が6億2,500万ドルを超え、インシデント件数の記録も更新した。
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test