Một kẻ tấn công đã rút hơn 2,1 triệu đô la từ Aztec Connect vào ngày 14/6, lợi dụng lỗi xác minh trong một giao thức bảo mật đã đóng cửa ba năm trước.
Các điểm chính:
- Kẻ tấn công rút khoảng 2,19 triệu đô la khỏi Aztec Connect ngày 14/6, ba năm sau khi giao thức bị khai tử.
- Vụ khai thác lợi dụng lỗ hổng trong quá trình xác minh bằng chứng của hợp đồng, cho phép rút tiền từ số dư không hề có tiền gửi bảo chứng.
- Aztec Labs cho biết họ không nắm giữ khóa quản trị và không thể tạm dừng hay nâng cấp các hợp đồng bất biến này.
CertiK phát hiện vụ rút tiền Aztec Connect
CertiK đã phát hiện hoạt động đáng ngờ chỉ vài giờ sau cuộc tấn công. Họ đã flagged một giao dịch rút tiền từ hợp đồng RollupProcessorV3 trên Ethereum, thành phần cốt lõi của cây cầu đã bị ngừng. Công ty bảo mật BlockSec sau đó nhanh chóng xác nhận cùng một vụ vi phạm và ban đầu nghi ngờ thiếu kiểm soát truy cập trong mã.
Điểm yếu nằm ở cách hợp đồng kiểm tra dữ liệu bằng chứng: một nhánh xác minh đầy đủ bộ giao dịch, trong khi logic quyết toán lại read cùng dữ liệu đó theo cách khác. Sự lệch nhau này cho phép kẻ tấn công ghi nhận giá trị mà không có gì bảo chứng phía sau, tạo ra các số dư không được bất kỳ khoản tiền gửi nào hỗ trợ.
Kẻ tấn công đã thực hiện chiêu thức này trên bảy loại tài sản chỉ trong một lần. Khoản thu gồm 909 Ether (ETH), khoảng 270.000 Dai (DAI), 167 wrapped staked Ether và một số token sinh lợi khác. Dữ liệu on-chain lần ra khoản tiền được chuyển đến một ví mới được cấp vốn trước đó thông qua một dịch vụ trộn, cho thấy vụ việc đã được chuẩn bị kỹ lưỡng từ trước.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs không giữ khóa quản trị
Aztec Foundation xác nhận vụ việc không lâu sau khi báo động được phát ra, và stressed rằng vụ vi phạm không ảnh hưởng đến token AZTEC (AZTEC) hay mạng Aztec đang hoạt động. Giá token hầu như không biến động, giao dịch quanh mức 1 cent trong ngày, trong khi cầu nối đã nghỉ hưu – ra mắt lần đầu năm 2022 – vẫn “ngủ yên” từ tháng 3/2023.
Aztec Labs cho biết họ không thể can thiệp. Các hợp đồng đã ngừng sử dụng này không có khóa quản trị, nên không ai có thể tạm dừng hay nâng cấp chúng, và nhà phát triển Param đã explained rằng mã đã trở nên hoàn toàn bất biến sau khi cây cầu đóng lại. Các nhà điều tra vẫn đang truy vết dòng chảy của số tiền bị đánh cắp trên mạng lưới.
Hợp đồng DeFi bị bỏ hoang vẫn đầy rủi ro
Sự cố này nhấn mạnh một vấn đề mà ngành công nghiệp liên tục phải đối mặt: các giao thức “chết” vẫn giữ lượng tiền thật đáng kể rất lâu sau khi đội ngũ rời đi. Mã bất biến không thể được vá lỗi khi phát hiện lỗ hổng, khiến những hệ thống bị bỏ hoang – thường được gọi là “hợp đồng zombie” – bị phơi mở trước tấn công trong nhiều năm.
Vụ rút tiền này khép lại một giai đoạn khó khăn cho bảo mật on-chain. Các vụ khai thác trong tháng đã gây thiệt hại khoảng 44 triệu đô la qua ít nhất hàng chục sự cố, với nhiều giao thức nhỏ bị tấn công trong vài tuần gần đây. Con số này nối tiếp một tháng 4 khốc liệt, khi chỉ hai vụ tấn công đã đẩy tổng thiệt hại tháng vượt 625 triệu đô la và lập kỷ lục về số lượng sự cố.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test