Зловмисник вивів понад $2,1 млн з Aztec Connect 14 червня, експлуатувавши ваду у верифікації в приватному протоколі, який було закрито три роки тому.
Ключові моменти:
- Зловмисник вивів близько $2,19 млн з Aztec Connect 14 червня, через три роки після виведення протоколу з експлуатації.
- Експлойт використав прогалину у верифікації доказів контракту, що дозволяла здійснювати виведення з балансів, не підкріплених депозитами.
- Aztec Labs заявила, що не має жодних адміністративних ключів і не може призупинити чи оновити незмінні контракти.
CertiK фіксує вивід коштів з Aztec Connect
CertiK виявила підозрілу активність за кілька годин після атаки. Вона flagged виведення коштів з контракту RollupProcessorV3 в Ethereum, основного компонента застарілого мосту. Компанія з безпеки BlockSec невдовзі підтвердила той самий злам і спочатку припустила відсутність належного контролю доступу в коді.
Уразливість полягала в тому, як контракт перевіряв дані доказів: один шлях верифікував повний набір транзакцій, тоді як логіка розрахунків read ці ж дані інакше. Ця невідповідність дозволила зловмиснику зараховувати собі вартість без реального забезпечення, створюючи баланси, які ніколи не підтримувалися депозитами.
Атакувальник застосував цю схему до семи активів за один прохід. Здобич включала 909 Ether (ETH), близько 270 000 Dai (DAI), 167 загорнутих стейкінгових Ether і кілька дохідних токенів. Дані в ланцюгу простежили кошти до нового гаманця, профінансованого раніше через сервіс мікшування, що свідчить про ретельну підготовку.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs не має адміністративних ключів
Aztec Foundation підтвердила інцидент невдовзі після появи перших попереджень і stressed, що злам не зачіпає токен AZTEC (AZTEC) і чинну мережу Aztec. Ціна токена майже не змінилася, торгуючись близько одного цента протягом дня, тоді як застарілий міст, уперше запущений у 2022 році, залишається неактивним з березня 2023 року.
Aztec Labs заявила, що не може втрутитися. У застарілих контрактах немає адміністративних ключів, тому ніхто не може їх призупинити чи оновити, а розробник Param explained, що код став повністю незмінним після згортання мосту. Слідчі й далі відстежують украдені кошти в мережі.
Занедбані DeFi‑контракти залишаються ризикованими
Цей епізод підкреслює проблему, яку індустрія постійно змушена переосмислювати: «мертві» протоколи часто й надалі зберігають значні суми, навіть коли їхні команди вже пішли. Незмінний код не можна пропатчити після виявлення вразливості, що залишає такі занедбані системи, які тепер широко називають зомбі‑контрактами, відкритими до атак роками.
Цей вивід коштів доповнює складний період для безпеки в ончейні. Лише цього місяця експлойти коштували приблизно $44 млн щонайменше у дюжині інцидентів, причому за останні тижні постраждала низка дрібніших протоколів. Це доповнює важкий квітень, коли лише дві атаки підштовхнули місячні втрати понад $625 млн і встановили рекорд за кількістю інцидентів.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test