loading...
已废弃的去中心化金融平台 Aztec Connect 在周日遭遇攻击,大约 210 万美元的加密货币被窃取。攻击者利用了其验证功能中的一个漏洞。Aztec Labs 表示正在“调查一起可能影响 Aztec Connect 的潜在攻击”,并补充说约 210 万美元已从该平台的智能合约中转出。团队称,此次事件并未影响当前 Aztec 网络上的用户或资产。
此次攻击针对的是 Aztec 系统的旧版本,而非其当前以隐私为核心的二层网络。Aztec Connect 于 2022 年作为 DeFi 桥接上线,并于 2023 年 3 月被弃用,存款功能也随之停止,团队将资源转向了新一代 Aztec 网络。这一事件凸显了去中心化金融中一个反复出现的问题:即使项目已经迁移,旧合约仍可能保持活跃、不可更改,并继续暴露在经济风险中。只要仍有价值可寻,攻击者即便在项目停止开发多年后,依然能够寻找弱点。
加密安全公司 BlockSec 表示,攻击者利用了 Aztec Connect 验证交易的方式与这些交易在以太坊上结算的方式之间的不匹配。据 BlockSec 称,Aztec Connect 合约中已验证的交易“并未有效地与零知识证明所强制执行的交易集绑定”。这使得以太坊上的验证路径和结算逻辑“对交易列表产生了不同的解读”。
这一弱点让攻击者能够安排交易,使得合约在未经过以太坊正确验证的情况下就记入价值。这些记账产生了没有实际支撑的余额,随后可以被提取。攻击者针对七种不同资产重复了这一过程七次。被盗资产包括 909 个以太币、27 万枚 DAI、167 个封装质押以太币(wstETH)以及其他几种加密货币。与近年来最大的 DeFi 攻击相比,此次攻击规模并不算大,但其结构值得关注,因为它涉及零知识验证与结算之间的不匹配,而非简单的热钱包盗窃。
Aztec Connect 被盗事件提醒我们,已弃用的基础设施仍可能带来现实中的金融风险。对于投资者和协议而言,关键问题不在于产品是否仍在积极推广,而在于其合约是否仍然持有资产或允许提现。
Aztec Connect 已经停止运营,但这并未消除底层的智能合约风险。一旦合约变得不可更改,团队可能几乎没有能力在攻击发生后暂停活动、升级逻辑或进行干预。Aztec Labs 表示:“Aztec Labs 不持有该系统的任何管理员密钥,也无法控制该系统;它无法被我们暂停或升级。”这种设计可以被视为去中心化的一项优势,因为用户不依赖中心化的管理员。但当遗留合约包含未被发现的缺陷时,它也可能成为安全上的制约。没有管理员控制权,团队在可疑活动开始后难以轻易停止提现、修补验证逻辑或冻结暴露的余额。
加密开发者 Param 表示,Aztec Connect 的智能合约变得“完全不可更改”,无法再升级或暂停。他说:“这起事件再次提醒人们,被遗弃的 DeFi 合约多年后仍可能成为攻击目标。”对于 DeFi 用户而言,这带来了尽职调查的问题。一个平台可能已被弃用,但合约仍然存在于链上。将资产留在旧系统中的用户,可能依赖的是不再维护、不再以同样紧迫程度进行监控、也不再由活跃产品团队支持的代码。
Aztec Connect 攻击事件让本月本已艰难的加密安全形势雪上加霜。据 DeFiLlama 数据,本月迄今为止,已有至少 4400 万美元因多次攻击被盗。本月最大的一起事件是 6 月 8 日 Humanity Protocol 的私钥泄露,损失了 3000 万美元。此前一天,Syscoin 桥也因虚假证明攻击损失了 800 万美元。这些模式表明,DeFi 安全风险正以不同的故障类型扩散。一些损失源于私钥泄露,另一些则来自桥接验证缺陷、证明验证问题,或者在极端情况下表现异常的合约逻辑。
对于注重隐私和零知识证明的系统而言,Aztec Connect 案例可能会促使人们更密切地关注证明、交易集与结算执行之间的绑定关系。如果证明验证了一组假设,而以太坊上的结算逻辑处理了另一组假设,攻击者就有可能找到空间来创建系统并未实际验证的余额。据团队称,当前的 Aztec 网络未受影响。尽管如此,这一攻击可能会加大对 DeFi 项目的压力,促使它们为旧合约制定更清晰的关闭计划、发布更强有力的用户迁移警告,并对已弃用的系统进行超出预期的监控。
更广泛的市场教训是直白的:在 DeFi 中,弃用并不等于消失。只要合约仍可调用、资产仍可提取,旧的基础设施就仍然可能成为攻击面。
672
569
886
708
438
725
194
458
734
239
