Kontrak pintar Aztec Connect yang ditinggalkan telah dikosongkan sebanyak $2.1J

Aztec Connect, sebuah platform DeFi yang telah ditinggalkan yang terkait dengan Aztec Network, dilaporkan dikosongkan sebanyak $2,1 juta dalam kripto selepas penyerang memanfaatkan kerentanan dalam logik pengesahan transaksi platform. Insiden ini menonjolkan bagaimana kontrak yang "ditinggalkan" masih boleh menjadi sasaran yang layak lama selepas ia secara rasmi diberhentikan.

Aztec Labs mengatakan di X bahawa ia sedang menyiasat kemungkinan eksploit yang mempengaruhi Aztec Connect, dan kira-kira $2.1 juta telah dipindahkan daripada kontrak pintar platform tersebut. Syarikat itu menambah bahawa isu tersebut tidak memberi kesan kepada pengguna atau aset di Aztec Network semasa ini.

• Kira-kira $2.1 juta dicuri daripada Aztec Connect selepas penyerang menyalahgunakan laluan pengesahan dan penyelesaian.
• BlockSec mengatakan transaksi yang disahkan tidak diikat secara efektif kepada set transaksi yang dikuatkuasakan oleh bukti ZK, mencipta jalan untuk menarik keseimbangan yang tidak disokong.
• Pengganas dilaporkan melaksanakan serangan tujuh kali merentas tujuh aset, mengumpulkan 909 ETH dan 270,000 DAI, antara lain.
• Aztec Connect telah ditinggalkan pada Mac 2023, dengan deposit dihentikan dan pasukan berpindah ke Aztec Network.
• Aztec Labs menyatakan ia tidak mempunyai kunci pentadbir dan tidak dapat menghentikan atau meningkatkan Aztec Connect, sementara seorang pembangun mengatakan kontrak menjadi sepenuhnya immutable.

Dalam kemas kini awamnya, Aztec Labs menggambarkan satu eksploitasi yang kelihatan yang mempengaruhi kontrak pintar Aztec Connect dan menyatakan bahawa sebanyak $2.1 juta telah dipindahkan keluar. Syarikat itu menekankan bahawa insiden tersebut tidak mempengaruhi aset atau baki pengguna di Aztec Network yang sedang beroperasi.

Aztec Connect terhubung kepada ekosistem ZK rollup yang berfokus pada privasi yang dibina di atas Ethereum. Menurut konteks yang sama yang diberikan dalam laporan, Aztec Connect adalah versi awal platform yang dilancarkan pada 2022 sebagai jambatan DeFi.

Syarikat keselamatan BlockSec mengatakan penyerang memanfaatkan ketidaksesuaian dalam cara Aztec Connect mengesahkan transaksi berbanding cara ia menyelesaikannya di Ethereum.

Penjelasan BlockSec berfokus pada bagaimana sistem menangani hubungan antara transaksi yang telah diverifikasi dan set transaksi yang ditegakkan oleh bukti ZK. Menurut pandangan mereka, transaksi yang disahkan melalui laluan verifikasi Aztec Connect tidak secara efektif diikat kepada set transaksi yang ditegakkan oleh bukti ZK. Kesenjangan itu membolehkan logik verifikasi dan penyelesaian kontrak di Ethereum menafsirkan senarai transaksi secara berbeza.

Dengan ketidakkonsistenan itu, penyerang boleh meletakkan transaksi supaya kontrak mengkreditkan nilai tanpa pengesahan yang sepadan berlaku di Ethereum. BlockSec mengatakan ini membolehkan penciptaan baki yang tidak disokong, yang kemudian boleh ditarik.

BlockSec juga melaporkan bahawa penyerang mengulangi teknik tersebut beberapa kali—tujuh kali merangkumi tujuh aset berbeza—daripada bergantung kepada satu serbuan sahaja.

Pencurian tersebut dilaporkan merangkumi 909 Ether (ETH), 270.000 Dai (DAI), 167 ETH yang dibungkus dan disimpan, serta beberapa kripto lain. Satu pos berasingan daripada CertiK telah dikutip dalam laporan asal sebagai menunjukkan contoh beberapa aset yang diambil.

Insiden Aztec Connect berlaku semasa tempoh sibuk bagi serangan DeFi. Data DeFiLlama yang dirujuk dalam laporan menunjukkan bahawa $44 juta nilai kripto telah dicuri sehingga bulan ini daripada sekurang-kurangnya 12 serangan yang berasingan.

Pada awal Jun, pencurian terbesar yang disebutkan berkaitan dengan kompromi kunci peribadi pada Humanity Protocol, dengan $30 juta dilaporkan hilang pada 8 Jun. Laporan tersebut juga menunjukkan insiden Syscoin Bridge yang berasingan pada hari sebelumnya, di mana $8 juta didakwa dicuri melalui eksploitasi bukti palsu.

Aztec Connect secara rasmi ditinggalkan pada Mac 2023, apabila deposit dihentikan dan pasukan mengalihkan sumber pembangunan kepada Aztec Network generasi seterusnya. Namun, proses pemberhentian tersebut tidak menghilangkan risiko yang dibawa oleh logik kontrak pintar asal.

Aztec Labs menyatakan bahawa ia tidak memegang kunci pentadbir dan oleh itu tidak dapat menghentikan atau meningkatkan sistem. Ini bermaksud ketidakmampuan platform untuk disesuaikan oleh pasukan boleh meninggalkan kelemahan logik yang diketahui atau muncul tanpa penyelesaian—terutama jika kod kontrak tetap berada di ethereum.

Seorang pembangun kripto yang dikenal sebagai “Param” juga mengatakan kontrak pintar Aztec Connect menjadi sepenuhnya immutable, bermaksud mereka tidak lagi boleh dinaik taraf atau dihentikan.

Kombinasi itu—pensianan tanpa kuasa penggantian—membantu menjelaskan bagaimana eksploit boleh muncul selepas produk ditarik balik. Seperti yang dinyatakan dalam laporan, insiden ini merupakan pengingat lain bahawa kontrak DeFi yang ditinggalkan atau pensian boleh masih menarik penyerang bertahun-tahun kemudian, terutamanya apabila eksploit bergantung pada semantik kontrak asas berbanding parameter operasi sementara.

Penyiasat kemungkinan akan memfokuskan perhatian pada sama ada dana yang ditarik telah dipindahkan segera melalui tempat likuiditi atau masih dapat dilacak dalam aliran di atas rantai, sementara tindak balas ekosistem Aztec mungkin berpusat pada mengesahkan lingkungan kesan dan memperkuat sempadan antara logik pengesahan dan penyelesaian. Bagi pengguna, kesimpulan praktikalnya ialah memperlakukan kontrak yang telah ditinggalkan sebagai masih berisiko: kod yang tidak boleh diubah boleh tetap boleh dieksploitasi lama selepas deposit ditutup.

Artikel ini asalnya diterbitkan sebagai Aztec Connect Kontrak Pintar Ditinggalkan Dicuri $2.1J di Crypto Breaking News – sumber tepercaya anda untuk berita kripto, berita Bitcoin, dan kemas kini blok rantai.