loading...
周日,一个与注重隐私的 Aztec 生态相关的已废弃 DeFi 桥接工具 Aztec Connect 遭到攻击,攻击者从一个老旧的以太坊智能合约中窃取了约210万美元。
Aztec 方面表示,Aztec Connect 的旧合约损失了210万美元,而当前的 Aztec Network 未受影响。此次攻击利用了一个验证不匹配的漏洞,使得未经实际资金支持的余额能够通过以太坊上的结算记录被转移。DeFiLlama 数据显示,6月已发生多起黑客攻击事件,其中 Humanity Protocol 和 Syscoin 的损失位居前列。
Aztec Labs 在 X 平台发文称,正在“调查一起可能影响 Aztec Connect 的漏洞利用事件”。团队表示,已有约210万美元从该平台的不可变合约中转移,但强调当前 Aztec Network 的用户和资产未受影响。这份声明之所以引人关注,是因为 Aztec Connect 已不再是活跃产品。该平台于2023年3月被废弃,当时 Aztec Labs 将工作重心转移到了其隐私网络的下一代版本上。
Aztec Labs 表示:“我们正在调查一起可能影响 Aztec Connect 的漏洞利用事件。有一笔约210万美元的资金从不可变智能合约中转出,交易记录见链接。Aztec Connect 已在三年前废弃。Aztec Labs 不持有该系统任何管理员密钥,也无法控制该系统;我们无法……”。
Aztec Connect 曾允许用户通过注重隐私的零知识卷叠方案访问 DeFi 服务。当系统被逐步淘汰时,存款被暂停,用户有足够时间从旧平台提取资金。但仍有部分资产留在了合约中。加密货币开发者 Param 表示,这些合约后来变得“完全不可变”,无法再升级或暂停。Aztec Labs 也重申,他们对旧系统不持有任何管理员密钥或控制权。
Param 在一条推文中描述了 Aztec Connect 如何被盗210万美元的过程:Aztec Connect 是以太坊上基于隐私的零知识卷叠方案;Aztec Labs 在2023年将其关闭以专注于新技术;用户有超过一年的时间提取资金;2024年,Aztec 放弃了对系统的控制权并移除了管理员权限。
与仍在运行的协议不同,旧的 Aztec Connect 系统没有能够暂停活动的操作者。因此,应对措施只能依赖公开警告、追踪以及在线受影响用户自行检查。这种设置意味着,一旦攻击者找到漏洞途径,就无法简单阻止攻击。尽管产品已废弃,但旧代码仍留在以太坊上,合约中也仍持有资金。
BlockSec 旗下 Phalcon 团队表示,攻击针对的是 Aztec Connect 在以太坊上的 RollupProcessorV3 合约。该公司称,可疑活动导致该合约损失超过215万美元。根据 BlockSec 的分析,问题在于交易验证方式与在以太坊上结算的方式之间存在不匹配。简而言之,证明系统与结算逻辑读取交易列表的方式不一致。这一漏洞使攻击者能够创建未经以太坊上有效价值支持的余额,随后将那些余额提取出来。该模式在多种资产上重复了七次。
CertiK 在 X 平台分享的数据列出了被盗资产,包括909枚以太币、约27万枚 DAI、167枚 Wrapped Staked ETH 以及少量其他代币。Param 还指出,攻击者在实施攻击前曾通过 Tornado Cash 为其钱包提供资金。
Aztec Connect 遭攻击事件,使本就活跃的 DeFi 安全事件月又添一笔。DeFiLlama 的黑客攻击追踪器显示,6月已发生多起损失事件,包括6月8日 Humanity Protocol 的3000万美元损失,以及6月7日 Syscoin Bridge 的800万美元损失。此前有报道称,攻击者入侵了 Humanity Protocol 在其跨链桥基础设施中持有的管理员密钥,导致超过3600万美元被盗。另据报道,5月黑客攻击损失降至6830万美元,较4月下降近90%。不过 CertiK 表示,代码漏洞仍是5月最主要的攻击途径,造成约4500万美元的损失。
Aztec 事件表明,为何老旧 DeFi 合约仍然是安全版图的一部分。即使产品已停用,任何留在不可变合约中的资金,都可能在多年后继续吸引攻击者。
682
113
816
538
615
260
438
674
158
775
