攻擊者於 6 月 14 日從 Aztec Connect 盜走逾 210 萬美元,利用一個已在三年前關停的隱私協議中 驗證流程的缺陷進行攻擊。
重點整理:
- 攻擊者在協議退役三年後的 6 月 14 日,從 Aztec Connect 提走約 219 萬美元。
- 此次攻擊濫用合約在證明驗證上的缺口,使提款可以動用並無實際存款支撐的餘額。
- Aztec Labs 表示其不持有任何管理金鑰,無法暫停或升級這些不可變更的合約。
CertiK 監測到 Aztec Connect 資金被抽走
CertiK 在攻擊發生數小時內就偵測到可疑活動, 並標記 以 RollupProcessorV3 合約為目標的資金外流;該合約部署在以太坊上,是這個已棄用橋接協議的核心組件。 之後,另一家資安公司 BlockSec 也證實同一事件,並首先懷疑程式碼中缺乏必要的存取控制。
漏洞存在於合約檢查證明數據的方式:其中一個路徑會驗證完整交易集合, 但結算邏輯卻以不同方式讀取 同一批數據。這種不一致讓攻擊者得以在沒有任何實際資產支持的情況下將價值記入餘額, 產生從未有存款支撐的帳面資金。
攻擊者在一次操作中就對七種資產重複施展這個手法。所得包括 909 顆 以太幣 (ETH)、約 27 萬枚 Dai (DAI)、167 枚包裹質押以太幣,以及少量可產收益代幣。 鏈上紀錄顯示,相關資金最終流向一個剛建立不久的錢包,而該錢包先前透過混幣服務取得資金, 顯示攻擊行動事先已被精心策畫。
延伸閱讀: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs 不掌握管理金鑰
Aztec Foundation 在警報傳出後不久便證實事件屬實, 並強調這起漏洞並未波及 AZTEC (AZTEC) 代幣與目前仍在運行的 Aztec 網路。 代幣價格幾乎未受影響,整日維持在約 0.01 美元附近;至於這條於 2022 年上線、 並在 2023 年 3 月就停止運作的橋接協議,則一直處於閒置狀態。
Aztec Labs 表示無法介入處理。這些已棄用合約不包含任何管理金鑰,因此沒有人能暫停或升級它們; 開發者 Param 也解釋 指出,在橋接服務關停後,相關程式碼就已完全變成不可變更。調查人員仍在持續追蹤被盜資金在鏈上的流向。
被遺棄的 DeFi 合約風險猶存
這起事件凸顯出一個產業屢次重蹈覆轍的問題:即使協議名義上已「死亡」、團隊早已解散, 鏈上合約仍可能長期持有大量資金。當不可變更的程式碼一旦曝露出弱點, 便無法再透過修補來補救,使這些如今被廣泛稱為「僵屍合約」的系統,在未來數年內都處於暴露狀態。
這次資金外流也為近期的鏈上安全形勢再添陰影。本月各類攻擊事件合計已造成約 4400 萬美元損失, 分布在至少十多起事件中,近幾週內也有多個規模較小的協議遭殃。 而在此之前的 4 月更是格外慘烈,僅兩起攻擊就把當月損失推高至逾 6.25 億美元, 同時創下單月事件數量的新高。
下一篇: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test