一名攻擊者在 6 月 14 日從 Aztec Connect 盜走超過 210 萬美元,利用的是一個已於三年前關閉的隱私協議中的驗證缺陷。
重點整理:
- 協議退役三年後,攻擊者於 6 月 14 日從 Aztec Connect 奪走約 219 萬美元。
- 漏洞濫用了合約在證明驗證上的缺口,讓提款可以動用並無實際存款支撐的餘額。
- Aztec Labs 表示其並無管理金鑰,也無法暫停或升級這些不可變更的合約。
CertiK 示警 Aztec Connect 資金被抽走
CertiK 在攻擊發生數小時內就偵測到可疑活動。它 flagged 了以太坊上 RollupProcessorV3 合約的資金外流事件,該合約是這個已棄用橋接協議的核心組件。安全公司 BlockSec 隨後也確認了同一宗入侵,並最初懷疑程式碼中缺乏適當的存取控制。
弱點出在合約檢查證明資料的方式,其中一條執行路徑會驗證完整交易集合,但結算邏輯卻以不同方式 read 相同資料。這種不一致讓攻擊者得以在沒有任何實際存款支撐下創造帳面價值,產生從未被存入卻看似存在的餘額。
攻擊者在單次操作中就把這項手法套用在七種資產上。戰利品包括 909 枚 Ether (ETH)、約 27 萬枚 Dai (DAI)、167 枚包裹質押以太幣,以及少量孳息型代幣。鏈上紀錄顯示,這些資金最終流向一個新建立的錢包,而該錢包先前是透過混幣服務注資,顯示這次行動早已經過精心佈局。
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs 並無管理金鑰
Aztec Foundation 在警報傳出後不久便確認了這次事件,並 stressed 指出這起入侵並未波及 AZTEC (AZTEC) 代幣及仍在運作中的 Aztec 網路。代幣價格幾乎不受影響,當天整體仍在約 0.01 美元附近交易;而這條於 2022 年推出、在 2023 年 3 月起就已退役的橋接協議則一直處於休眠狀態。
Aztec Labs 表示它無法介入處理。這些已棄用合約並沒有任何管理金鑰,因此沒有人可以暫停或升級它們,而開發者 Param explained 一旦橋關閉後,相關程式碼就已經完全不可變更。調查人員仍在鏈上追蹤這批被盜資金的流向。
被遺棄的 DeFi 合約仍然高風險
這起事件凸顯了一個產業反覆碰壁的問題:即使協議名存實亡、團隊早已離場,鏈上仍可能留有大量資金。當不可變更的程式碼在弱點浮現後無法被修補時,這些如今被稱為「僵屍合約」的棄置系統,將在往後多年內持續暴露於攻擊之下。
這次資金被抽走,為近期鏈上安全問題再添一筆。僅本月的各類攻擊事件就已造成約 4,400 萬美元損失,橫跨至少十多宗事故,近週也有多個小型協議接連中招。這個數字緊接在慘烈的四月之後——當時僅兩起攻擊就讓當月損失突破 6.25 億美元,同時創下單月事件數量新高。
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test