Aztec Connect,一個與專注隱私的 Aztec 生態系相關聯、已停用的 DeFi 橋,在週日遭到攻擊,攻擊者從一個舊的以太坊智能合約中盜取了約 210 萬美元。
Aztec Labs 在 X 上表示,他們正在「調查一起可能影響 Aztec Connect 的漏洞攻擊」。該團隊稱,約有 210 萬美元已從該平台的不可變更合約中轉移,但補充說目前的 Aztec Network 用戶和資產並未受到影響。
這份聲明引起了關注,因為 Aztec Connect 已不再是一個活躍產品。該平台於 2023 年 3 月停用,當時 Aztec Labs 將工作重心轉移到其隱私網路的下一版本。
Aztec Connect 曾允許用戶透過專注隱私的零知識匯總 (ZK rollup) 存取 DeFi。當該系統逐步淘汰時,存款被停止,用戶有時間從舊平台提取資金。
一些資產仍留在合約中。加密貨幣開發者 Param 表示,這些合約後來變得「完全不可變更」,無法再升級或暫停。Aztec Labs 也表示,他們對舊系統不持有任何管理員密鑰或控制權。
與活躍協議不同,舊的 Aztec Connect 系統沒有營運商能夠暫停活動。這使得應對措施取決於公開警告、追蹤以及線上受影響用戶的檢查。
這種設定導致攻擊者一旦找到漏洞路徑,就沒有簡單的方法來阻止攻擊。儘管該產品已被放棄,舊程式碼仍存在於以太坊上,且合約中仍持有資金。
BlockSec 的 Phalcon 團隊表示,此次攻擊目標是 Aztec Connect 在以太坊上的 RollupProcessorV3 合約。該公司表示,在可疑活動影響該合約後,損失超過 215 萬美元。
根據 BlockSec 的說法,問題涉及交易驗證方式與其在以太坊上結算方式之間的不匹配。簡單來說,證明系統和結算邏輯在讀取交易列表的方式上存在差異。
這個漏洞使得攻擊者能夠創建在以太坊上沒有有效價值支持的餘額。攻擊者隨後提取了這些餘額。同樣的模式在多種資產上重複了七次。
CertiK 在 X 上分享的數據列出被盜資產包括 909 枚 ETH、約 270,000 枚 DAI、167 枚包裝質押 ETH (wstETH) 以及少量其他代幣。Param 還表示,攻擊者在發動攻擊前透過 Tornado Cash 為錢包提供資金。
Aztec Connect 漏洞攻擊為 DeFi 安全事件活躍的 6 月再添一筆。DeFiLlama 的駭客追蹤器顯示,6 月份已有多筆損失,包括 6 月 8 日 Humanity Protocol 損失的 3,000 萬美元和 6 月 7 日 Syscoin Bridge 損失的 800 萬美元。
正如 crypto.news 先前報導,Humanity Protocol 表示,在攻擊者入侵其跨以太坊和 BNB 智能鏈的橋接基礎設施相關管理密鑰後,超過 3,600 萬美元被盜。
Crypto.news 還報導稱,5 月份的駭客攻擊損失降至 6,830 萬美元,較 4 月份下降近 90%。儘管如此,CertiK 表示,5 月份約有 4,500 萬美元的損失是由程式碼缺陷造成的,使其成為當月最大的攻擊途徑。
Aztec 案例顯示了為何舊的 DeFi 合約仍然是安全地圖的一部分。即使產品停用,留在不可變更合約中的任何資金仍可能在數年後吸引攻擊者。
