Злоумышленник вывел более $2,1 млн из Aztec Connect 14 июня, эксплуатировав уязвимость верификации в приватном протоколе, закрытом три года назад.
Основные моменты:
- Атакующий вывел около $2,19 млн из Aztec Connect 14 июня, спустя три года после остановки протокола.
- Эксплойт использовал пробел в проверке доказательств в контракте, позволяя выводить средства с балансов, за которыми не стояли депозиты.
- Aztec Labs заявила, что не владеет админ‑ключами и не может приостанавливать или обновлять неизменяемые контракты.
CertiK фиксирует вывод средств из Aztec Connect
CertiK обнаружила подозрительную активность в течение нескольких часов после атаки. Она flagged a drain from the RollupProcessorV3 contract on Ethereum, the deprecated bridge's core component. Fellow security firm BlockSec confirmed the same breach soon after and first suspected a missing access control in the code.
Слабое место заключалось в том, как контракт проверял данные доказательств: один путь валидировал полный набор транзакций, тогда как логика расчётов read that same data differently. Несоответствие позволило злоумышленнику начислять себе стоимость «с воздуха», создавая балансы, не обеспеченные никаким депозитом.
Атакующий провернул трюк сразу по семи активам за один проход. Добыча включала 909 Ether (ETH), около 270 000 Dai (DAI), 167 токенизированных застейканных ETH и несколько доходных токенов. Ончейн‑данные отследили средства до нового кошелька, заранее профинансированного через миксер, что говорит о заблаговременной подготовке операции.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
У Aztec Labs нет админ‑ключей
Aztec Foundation подтвердила инцидент вскоре после первых сигналов и stressed, что взлом не затронул токен AZTEC (AZTEC) и работающую сеть Aztec. Токен почти не отреагировал и торговался около одного цента в течение дня, тогда как выведенный из эксплуатации мост, запущенный в 2022 году, остаётся неактивным с марта 2023‑го.
Aztec Labs заявила, что не может вмешаться. В устаревших контрактах нет админ‑ключей, поэтому никто не может приостановить их работу или обновить, а разработчик Param explained, что код стал полностью неизменяемым после сворачивания работы моста. Расследователи продолжают отслеживать украденные средства в сети.
Заброшенные DeFi‑контракты остаются рискованными
Этот эпизод подчёркивает проблему, о которой индустрия регулярно забывает: «мёртвые» протоколы продолжают хранить реальные деньги задолго после того, как команды уходят. Неизменяемый код нельзя запатчить после обнаружения уязвимости, поэтому такие заброшенные системы, которых теперь часто называют «зомби‑контрактами», могут оставаться уязвимыми годами.
Этот вывод средств завершает тяжёлый период для ончейн‑безопасности. Эксплойты в этом месяце уже обошлись примерно в $44 млн минимум в дюжине инцидентов, при этом за последние недели пострадало несколько небольших протоколов. Этому предшествовал тяжёлый апрель, когда всего две атаки подняли ежемесячные потери свыше $625 млн и установили рекорд по числу инцидентов.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test