Atakujący wyprowadził ponad 2,1 mln dolarów z Aztec Connect 14 czerwca, wykorzystując błąd w weryfikacji w protokole prywatności, który został zamknięty trzy lata temu.
Kluczowe punkty:
- Atakujący wyciągnął około 2,19 mln dolarów z Aztec Connect 14 czerwca, trzy lata po wycofaniu protokołu.
- Exploit wykorzystał lukę w weryfikacji dowodu w kontrakcie, pozwalając na wypłaty z sald, za którymi nie stały żadne depozyty.
- Aztec Labs poinformowało, że nie posiada kluczy administratora i nie może wstrzymać ani zaktualizować niezmiennych kontraktów.
CertiK sygnalizuje drenaż Aztec Connect
CertiK wykrył podejrzaną aktywność w ciągu kilku godzin od ataku. flagged drenaż z kontraktu RollupProcessorV3 na Ethereum, głównego komponentu wycofanego mostu. Firma zajmująca się bezpieczeństwem BlockSec wkrótce potwierdziła to samo naruszenie i początkowo podejrzewała brak kontroli dostępu w kodzie.
Słabość tkwiła w sposobie, w jaki kontrakt sprawdzał dane dowodu: jedna ścieżka weryfikowała pełny zestaw transakcji, podczas gdy logika rozliczeniowa read te same dane w inny sposób. Niespójność pozwoliła atakującemu dopisywać wartość bez pokrycia, tworząc salda, za którymi nie stał żaden depozyt.
Atakujący zastosował ten trik wobec siedmiu aktywów w jednym podejściu. Łup obejmował 909 Ether (ETH), około 270 000 Dai (DAI), 167 owiniętych stakowanych Etherów oraz kilka tokenów przynoszących dochód. Dane on-chain powiązały środki z nowym portfelem zasilonym wcześniej przez usługę miksującą, co wskazuje, że ruch był przygotowany z wyprzedzeniem.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs nie posiada kluczy admina
Aztec Foundation potwierdziła incydent niedługo po podniesieniu alarmu i stressed, że naruszenie nie dotyka tokena AZTEC (AZTEC) ani działającej sieci Aztec. Kurs tokena niemal nie zareagował, utrzymując się w okolicach jednego centa przez cały dzień, podczas gdy wycofany most, uruchomiony pierwotnie w 2022 roku, pozostaje nieaktywny od marca 2023.
Aztec Labs poinformowało, że nie może interweniować. Wycofane kontrakty nie posiadają kluczy administratora, więc nikt nie może ich wstrzymać ani zaktualizować, a deweloper Param explained, że kod stał się w pełni niezmienny po wygaszeniu mostu. Śledczy wciąż tropią skradzione środki w sieci.
Porzucone kontrakty DeFi nadal są ryzykowne
Ten epizod podkreśla problem, o którym branża wciąż boleśnie się przypomina: martwe protokoły nadal przechowują prawdziwe pieniądze długo po tym, jak zespoły je opuszczą. Niezmienny kod nie może zostać załatany po ujawnieniu słabości, co pozostawia te porzucone systemy, powszechnie nazywane dziś zombie kontraktami, otwarte na ataki przez lata.
Drenaż kończy trudny okres dla bezpieczeństwa on-chain. Exploity w tym miesiącu kosztowały około 44 mln dolarów w co najmniej kilkunastu incydentach, przy czym kilka mniejszych protokołów zostało zaatakowanych w ostatnich tygodniach. Ten wynik następuje po brutalnym kwietniu, kiedy dwa ataki wystarczyły, by miesięczne straty przekroczyły 625 mln dolarów i ustanowiły rekord liczby incydentów.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test