loading...
据区块链安全公司BlockSec通过其Phalcon监控系统标记的可疑交易显示,Aztec Connect的智能合约疑似因验证漏洞被攻击者利用,损失约215万美元。被盗资金包括约909枚ETH、27万枚DAI和167枚wstETH。值得注意的是,此次攻击情况特殊,Aztec Labs团队表示,该漏洞已超出任何人的修补能力范围。
Aztec Connect是一个零知识卷叠桥,曾允许用户在与Aave、Lido等DeFi协议交互时,通过零知识证明隐藏交易细节。该服务于2023年3月被Aztec Labs弃用,其排序器也于2024年3月停止运行。
根据BlockSec Phalcon的分析,漏洞源于验证交易集与L1结算处理之间的边界不匹配。安全公司CertiK进一步指出,这是对提交的证明数据验证不完整所致——某个合约功能仅检查了证明的开头部分,而嵌入在其他位置的代币转移指令未经验证,从而让攻击者得以操控提现流程。
Aztec Labs确认正在调查,但表示已无法干预。团队在X平台发文称:“Aztec Connect已于3年前弃用。Aztec Labs不持有该系统的任何管理员密钥或控制权,无法暂停或升级它。”Aztec Foundation也发布声明强调,此事与AZTEC ERC-20代币或当前专注于隐私智能合约的Aztec网络无关。当初弃用该桥时,考虑到其隐私协议的特性,团队放弃了合约的管理密钥。但代价是密钥一旦消失,漏洞出现时便无人能部署修复程序。
根据DefiLlama数据,攻击前Aztec Connect合约中锁定的总价值约为215万美元,攻击者全额盗取。这些资金未被监控,团队也未采取措施,因为留在合约中的任何资产都完全依赖于原始代码的完整性。此次事件凸显了用户在项目迁移后将资金遗留旧合约中的持续风险。
六月已过半,攻击事件接连不断,加密协议似乎难以喘息。五月也发生了多起攻击事件,近期被弃用的平台正遭受越来越多的攻击。此前已有报道称,六月头几天Gnosis Pay和TesseraDAO便遭攻击,仅TesseraDAO一例就在BNB Chain上因“铸币并倾销”攻击损失了250万美元。据DefiLlama数据,截至六月中旬,六月份的攻击累计损失已接近4393万美元。
347
138
292
1001
181
451
900
825
941
