Một kẻ tấn công đã rút hơn 2,1 triệu đô la từ Aztec Connect vào ngày 14/6, khai thác một lỗ hổng xác minh trong giao thức bảo mật đã ngừng hoạt động ba năm trước.
Các điểm chính:
- Kẻ tấn công đã rút khoảng 2,19 triệu đô la từ Aztec Connect vào ngày 14/6, ba năm sau khi giao thức bị khai tử.
- Vụ khai thác lợi dụng một khoảng trống trong xác minh bằng chứng của hợp đồng, cho phép rút tiền từ số dư không hề có khoản gửi tương ứng.
- Aztec Labs cho biết họ không nắm giữ khóa quản trị và không thể tạm dừng hay nâng cấp các hợp đồng bất biến.
CertiK phát hiện vụ rút tiền từ Aztec Connect
CertiK đã phát hiện hoạt động bất thường chỉ trong vài giờ sau cuộc tấn công. Họ đã flagged một đợt rút tiền từ hợp đồng RollupProcessorV3 trên Ethereum, thành phần lõi của cây cầu đã bị ngừng sử dụng. Công ty an ninh BlockSec cũng nhanh chóng xác nhận cùng một vụ xâm phạm và ban đầu nghi ngờ do thiếu kiểm soát truy cập trong mã.
Điểm yếu nằm ở cách hợp đồng kiểm tra dữ liệu bằng chứng: một nhánh xác minh toàn bộ tập giao dịch trong khi logic thanh toán read cùng dữ liệu đó theo cách khác. Sự không khớp này cho phép kẻ tấn công ghi nhận giá trị “ảo”, tạo ra các số dư mà không hề có khoản gửi thực sự hỗ trợ.
Kẻ tấn công đã thực hiện chiêu thức này trên bảy tài sản chỉ trong một lần quét. Chiến lợi phẩm bao gồm 909 Ether (ETH), khoảng 270.000 Dai (DAI), 167 Ether stake bọc (wrapped staked Ether) và một số token mang lại lợi suất. Dữ liệu on-chain truy vết số tiền này đến một ví mới được cấp vốn trước đó thông qua dịch vụ trộn, cho thấy kế hoạch đã được chuẩn bị từ lâu.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs không nắm giữ khóa quản trị
Aztec Foundation xác nhận sự cố không lâu sau khi chuông báo động vang lên, và stressed rằng vụ vi phạm không ảnh hưởng đến token AZTEC (AZTEC) hay mạng Aztec đang vận hành. Giá token hầu như không biến động, giao dịch quanh mức 0,01 đô la trong ngày, trong khi cây cầu đã nghỉ hưu, ra mắt lần đầu vào năm 2022, vẫn ở trạng thái bất động từ tháng 3/2023.
Aztec Labs nói rằng họ không thể can thiệp. Các hợp đồng đã ngừng sử dụng không có khóa quản trị, nên không ai có thể tạm dừng hoặc nâng cấp chúng, và nhà phát triển Param đã explained rằng mã đã trở nên hoàn toàn bất biến sau khi cây cầu đóng lại. Các nhà điều tra vẫn đang lần theo đường đi của số tiền bị đánh cắp trên mạng lưới.
Các hợp đồng DeFi bị bỏ hoang vẫn đầy rủi ro
Sự việc nhấn mạnh một vấn đề mà ngành công nghiệp phải liên tục “học lại”: các giao thức đã chết vẫn giữ một lượng tiền thật lớn rất lâu sau khi đội ngũ rời đi. Mã bất biến không thể được vá khi điểm yếu bị lộ, khiến những hệ thống bị bỏ rơi này, nay thường được gọi là “hợp đồng zombie”, dễ bị tấn công trong nhiều năm.
Vụ rút tiền này khép lại một giai đoạn tồi tệ đối với an ninh on-chain. Các vụ khai thác trong tháng đã gây thiệt hại khoảng 44 triệu đô la qua ít nhất hàng chục sự cố, với một số giao thức nhỏ bị đánh trong những tuần gần đây. Con số này nối tiếp một tháng 4 khắc nghiệt, khi chỉ hai vụ tấn công đã đẩy tổng thiệt hại tháng vượt 625 triệu đô la và lập kỷ lục về số lượng sự cố.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test