Злоумышленник вывел более $2,1 млн из Aztec Connect 14 июня, воспользовавшись уязвимостью верификации в приватном протоколе, который был закрыт три года назад.
Ключевые моменты:
- Атакующий вывел около $2,19 млн из Aztec Connect 14 июня, спустя три года после остановки протокола.
- Эксплойт использовал изъян в проверке доказательств в контракте, позволявший выводить средства, не подкреплённые реальными депозитами.
- Aztec Labs заявила, что не имеет админ‑ключей и не может приостанавливать или обновлять неизменяемые контракты.
CertiK фиксирует вывод средств из Aztec Connect
CertiK обнаружила подозрительную активность в течение нескольких часов после атаки. Она flagged вывод средств из контракта RollupProcessorV3 в сети Ethereum, который был ключевым компонентом устаревшего моста. Другой аналитик безопасности, BlockSec, вскоре подтвердил тот же взлом и сначала предположил отсутствие надлежащего контроля доступа в коде.
Слабое место заключалось в том, как контракт проверял данные доказательств: один путь проверял полный набор транзакций, в то время как логика расчётов read эти же данные иначе. Несоответствие позволило атакующему «начислять» стоимость без фактического обеспечения, создавая балансы, за которыми не стояло ни одного депозита.
Злоумышленник провёл атаку по семи активам за один заход. В добычу вошли 909 Ether (ETH), около 270 000 Dai (DAI), 167 токенизированных стейк‑ETH и несколько доходных токенов. Ончейн‑записи связали средства с новым кошельком, ранее профинансированным через миксер, что указывает на заранее подготовленную операцию.
Также читайте: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
У Aztec Labs нет админ‑ключей
Aztec Foundation подтвердила инцидент вскоре после первых сигналов и stressed, что взлом не затронул токен AZTEC (AZTEC) и действующую сеть Aztec. Токен почти не отреагировал, торгуясь около одного цента в течение дня, в то время как прекращённый мост, впервые запущенный в 2022 году, остаётся неактивным с марта 2023 года.
Aztec Labs заявила, что не может вмешаться. В устаревших контрактах нет админ‑ключей, поэтому никто не может приостановить их работу или обновить, а разработчик Param explained, что код стал полностью неизменяемым после закрытия моста. Следователи всё ещё отслеживают украденные средства по сети.
Заброшенные DeFi‑контракты остаются рискованными
Этот эпизод подчёркивает проблему, к которой индустрия постоянно возвращается: «мёртвые» протоколы продолжают хранить реальные деньги ещё долго после того, как команды уходят. Неизменяемый код нельзя «залатать», когда обнаруживается уязвимость, что оставляет такие заброшенные системы, которых теперь часто называют «зомби‑контрактами», открытыми для атак на долгие годы.
Этот вывод средств завершает тяжёлый период для ончейн‑безопасности. Эксплойты в этом месяце обошлись примерно в $44 млн как минимум в двенадцати инцидентах, при этом в последние недели пострадали несколько небольших протоколов. Эти потери последовали за тяжёлым апрелем, когда всего две атаки подняли месячный ущерб выше $625 млн и установили рекорд по количеству инцидентов.
Читайте далее: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test