Зловмисник вивів понад $2,1 млн з Aztec Connect 14 червня, скориставшись помилкою верифікації в протоколі приватності, який закрили три роки тому.
Ключові моменти:
- Зловмисник вивів близько $2,19 млн з Aztec Connect 14 червня, через три роки після виведення протоколу з експлуатації.
- Експлойт використав прогалину у верифікації доказів контракту, що дозволяло виводити кошти з балансів без відповідних депозитів.
- Aztec Labs заявила, що не має адміністративних ключів і не може призупинити чи оновити незмінні контракти.
CertiK фіксує виведення коштів з Aztec Connect
CertiK за кілька годин після атаки виявила підозрілу активність. Вона flagged виведення коштів із контракту RollupProcessorV3 в мережі Ethereum — основного компонента застарілого мосту. Інша аудиторська компанія BlockSec невдовзі підтвердила той самий злам і спочатку припустила відсутність належного контролю доступу в коді.
Уразливість полягала в тому, як контракт перевіряв дані доказу: один шлях верифікував повний набір транзакцій, тоді як логіка фінального розрахунку read ці ж дані інакше. Через цю невідповідність зловмисник міг зараховувати собі вартість без реального забезпечення, створюючи баланси, яких ніколи не підкріплювали депозити.
Атакувальник застосував трюк до семи активів в одному проході. До здобичі увійшли 909 Ether (ETH), близько 270 000 Dai (DAI), 167 wrapped staked Ether і кілька токенів із дохідністю. Ончейн-дані пов’язали кошти з новим гаманцем, поповненим раніше через міксер, що свідчить про ретельну підготовку атаки.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs не має адміністративних ключів
Aztec Foundation невдовзі після перших сигналів підтвердила інцидент і stressed, що злам не зачепив токен AZTEC (AZTEC) і чинну мережу Aztec. Токен майже не відреагував, торгуючись близько 1 цента протягом дня, тоді як застарілий міст, запущений у 2022 році, перебуває в сплячому стані з березня 2023-го.
Aztec Labs заявила, що не може втрутитися. У застарілих контрактах немає адміністративних ключів, тож ніхто не може їх призупинити чи оновити, а розробник Param explained, що код став повністю незмінним після згортання мосту. Розслідувачі й надалі відстежують рух викрадених коштів у мережі.
Покинуті DeFi-контракти лишаються ризикованими
Цей епізод підкреслює проблему, яку індустрія змушена усвідомлювати знову і знову: «мертві» протоколи роками зберігають реальні гроші після того, як команди йдуть далі. Незмінний код неможливо «залатати», коли виявляється уразливість, тому такі покинуті системи, які дедалі частіше називають «зомбі»-контрактами, залишаються відкритими для атак роками.
Цей злам завершує складний період для безпеки ончейн. Лише цього місяця експлойти коштували ринку близько $44 млн щонайменше в дюжині інцидентів, причому останніми тижнями постраждали кілька менших протоколів. Це доповнює важкий квітень, коли лише дві атаки підняли місячні втрати понад $625 млн і встановили рекорд за кількістю інцидентів.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test