एक स्मार्ट कॉन्ट्रैक्ट जिसका कोई नियंत्रण नहीं करता, उससे $2 मिलियन से अधिक का नुकसान हुआ। ईथेरियम पर मार्च 2023 के बाद से निष्क्रिय पड़ा रहा लीगेसी Aztec Connect Router कॉन्ट्रैक्ट, जून 14 को एक हमलावर द्वारा इसकी प्रमाणीकरण तर्क में विभेद का दुरुपयोग करके खाली कर दिया गया।
इसमें लगभग 909 ETH, 270,000 DAI और 167 wstETH, और अन्य ERC-20 टोकन शामिल थे। कुल नुकसान अनुमान के आधार पर लगभग $2.1 मिलियन से $2.19 मिलियन तक रहा।
यहाँ बात यह है: किसी ने इसे रोक नहीं सकता था। जब एज़टेक लैब्स ने एज़टेक कनेक्ट को बंद कर दिया, तो उन्होंने एडमिन कुंजियाँ त्याग दीं। कॉन्ट्रैक्ट्स अपरिवर्तनीय हो गए, जिसका मतलब है कि कोई पैच नहीं, कोई अपग्रेड नहीं, कोई आपातकालीन पॉज़ बटन नहीं।
एक्सप्लॉइट कैसे काम करता था
एज़टेक कनेक्ट 2022 में एक zk-rollup ब्रिज के रूप में लॉन्च किया गया था, जिसे ईथेरियम पर DeFi इंटरैक्शन्स के लिए प्राइवेसी लाने के लिए डिज़ाइन किया गया था। यह उपयोगकर्ताओं को Aave और Lido जैसे प्रोटोकॉल्स के साथ इंटरैक्ट करने की अनुमति देता था, जबकि ज़ीरो-नॉलेज प्रूफ़ का उपयोग करके लेन-देन के विवरण को छिपाता था। प्लेटफ़ॉर्म को 31 मार्च, 2023 को आधिकारिक रूप से समाप्त कर दिया गया था, और सीक्वेंसर को 31 मार्च, 2024 तक पूरी तरह से बंद कर दिया गया था।
दुरुपयोग का मूल कारण अनुबंध के सत्यापन और निपटान तर्क के बीच असंगति थी। हमलावर ने इस अंतर को ढूंढा और इसका उपयोग अनुबंध को धोखा देने के लिए किया ताकि वह ऐसी राशि जारी करे जो इसे जारी करनी चाहिए थी।
सुरक्षा कंपनियां CertiK और BlockSec ने दोनों इस घटना को चिह्नित किया और दुरुपयोग के बारे में चेतावनी जारी की।
एज़टेक लैब्स और एज़टेक फाउंडेशन ने जल्दी से स्पष्टीकरण देते हुए कहा कि दुरुपयोग का वर्तमान एज़टेक नेटवर्क या AZTEC ERC20 टोकन पर कोई प्रभाव नहीं पड़ा है। उनकी पोज़ीशन स्पष्ट है: वे पुराने स्मार्ट कॉन्ट्रैक्ट्स को नियंत्रित नहीं करते हैं, और उन्हें अप्रचलित होने के बाद से कभी नियंत्रित नहीं किया है, और नया प्लेटफॉर्म प्राइवेट स्मार्ट कॉन्ट्रैक्ट्स पर केंद्रित एक पूरी तरह से अलग प्रणाली है।
DeFi में भूत जहाज की समस्या
ईथेरियम के डिज़ाइन का अर्थ है कि एक बार जब कोई कॉन्ट्रैक्ट अपग्रेड मैकेनिज्म के बिना डिप्लॉय कर दिया जाता है, तो वह ब्लॉकचेन पर हमेशा के लिए रहता है। यदि उपयोगकर्ता उसमें फंड छोड़ देते हैं, तो वे फंड अनिश्चित काल तक वहीं पड़े रहते हैं, जो केवल कोड द्वारा सुरक्षित होते हैं जिसे कभी अपडेट नहीं किया जा सकता। एज़टेक कनेक्ट कॉन्ट्रैक्ट्स ने टीम के चले जाने के कई साल बाद $2 मिलियन से अधिक क्रिप्टो संपत्ति रखी।
एज़टेक टीम का प्रशासनिक कुंजियों को त्यागने का निर्णय दार्शनिक रूप से सही था। एक मास्टर कुंजी के साथ गोपनीयता-केंद्रित ब्रिज का उद्देश्य ही हासिल नहीं होता। लेकिन व्यावहारिक परिणाम यह है कि जब कुछ गलत हो जाता है, तो जिस एकमात्र संस्था का हस्तक्षेप करने की क्षमता हो सकती है, वही है जिसने जानबूझकर ऐसा करने की क्षमता त्याग दी है।
इसका निवेशकों के लिए क्या अर्थ है
15 जून, 2026 तक, कोई प्रमुख बाजार प्रभाव रिपोर्ट नहीं किए गए थे। दुर्घटना के बाद AZTEC टोकन या संबंधित संपत्तियों पर कोई महत्वपूर्ण कीमत में उतार-चढ़ाव नहीं हुआ।
जो लोग ऐसे प्रोटोकॉल में पोज़ीशन रखते हैं जिनमें माइग्रेशन हुआ है, उनके लिए Aztec Connect के एक्सप्लॉइट का एक याददाश्त है कि जाँच करें कि क्या आपकी राशि अभी भी पुराने कॉन्ट्रैक्ट में है। DeFi प्रोटोकॉल का मूल्यांकन करते समय, निवेशकों को यह सिर्फ यह पूछना चाहिए कि प्रणाली आज कैसे काम करती है, बल्कि यह भी कि जब यह काम करना बंद कर दे, तो क्या होता है? क्या टीम के पास अपग्रेड करने की क्षमता है? क्या फंसे हुए फंड्स को बचाने के लिए कोई तंत्र है? अगर एडमिन कीज़ को त्याग दिए गए हैं, तो क्या उपयोगकर्ताओं के लिए इससे पहले विड्रॉ करने के लिए स्पष्ट समयसीमा और प्रक्रिया है?