Aztec Connect: заброшенный смарт-контракт был опустошен на $2,1 млн

Aztec Connect, устаревшая DeFi-платформа, связанная с Aztec Network, была, как сообщается, обесценена на сумму около 2,1 миллиона долларов в криптовалюте после того, как злоумышленник воспользовался уязвимостью в логике проверки транзакций платформы. Инцидент подчеркивает, как «заброшенные» контракты могут оставаться привлекательными целями долгое время после официального прекращения их работы.

Aztec Labs сообщила в X, что расследует потенциальную уязвимость, затрагивающую Aztec Connect, и что примерно 2,1 миллиона долларов были переведены со смарт-контракта платформы. Компания добавила, что проблема не повлияла на пользователей или активы текущей сети Aztec.

• Около 2,1 миллиона долларов было похищено из Aztec Connect после того, как злоумышленник воспользовался уязвимостью в процессе верификации и расчетов.
• BlockSec заявил, что проверенные транзакции не были эффективно связаны с набором транзакций, обеспечиваемым ZK-доказательством, что создало возможность для вывода непокрытых остатков.
• Злоумышленник, по сообщениям, реализовал эксплойт семь раз по семи активам, накопив 909 ETH и 270 000 DAI, среди других.
• Aztec Connect был отключен в марте 2023 года, депозиты были приостановлены, а команда перешла на Aztec Network.
• Aztec Labs заявила, что не имеет админ-ключей и не может приостановить или обновить Aztec Connect, а один из разработчиков сказал, что контракты стали полностью неизменяемыми.

В своем публичном обновлении Aztec Labs описала возможную уязвимость, затронувшую смарт-контракт Aztec Connect, и отметила, что было переведено около 2,1 миллиона долларов. Компания подчеркнула, что инцидент не повлиял на активы или балансы пользователей на работающей сети Aztec.

Aztec Connect связан с экосистемой ZK-роллапов, ориентированной на конфиденциальность, построенной на Ethereum. Согласно тому же контексту, предоставленному в отчете, Aztec Connect была более ранней версией платформы, запущенной в 2022 году в качестве DeFi-моста.

Компания по безопасности BlockSec заявила, что злоумышленник воспользовался несоответствием между тем, как Aztec Connect проверяла транзакции, и тем, как она их оформляла на Ethereum.

Объяснение BlockSec сосредоточилось на том, как система обрабатывала взаимосвязь между проверенными транзакциями и набором транзакций, принудительно заданным ZK-доказательством. Согласно их мнению, транзакции, одобренные через маршрут верификации Aztec Connect, не были эффективно связаны с набором транзакций, принудительно заданным ZK-доказательством. Этот разрыв позволил логике верификации и расчета контракта на ethereum интерпретировать список транзакций иначе.

С этой несогласованностью атакующий мог размещать транзакции, при которых контракт зачислял значение без соответствующей проверки на Ethereum. BlockSec заявила, что это позволило создавать непокрытые остатки, которые затем можно было вывести.

BlockSec также сообщила, что злоумышленник многократно применял эту технику — семь раз по семи различным активам — вместо того чтобы полагаться на один общий захват.

Кражи, по сообщениям, включали 909 Ether (ETH), 270 000 Dai (DAI), 167 обернутых стейкинг-ETH и несколько других криптовалют. В исходном отчете также цитировался отдельный пост от CertiK, в котором приводились примеры некоторых из изъятых активов.

Инцидент с Aztec Connect произошёл на фоне активного периода атак на DeFi. Данные DeFiLlama, упомянутые в отчёте, указывают, что в этом месяце из-за как минимум 12 отдельных атак было украдено криптовалюты на сумму 44 миллиона долларов.

Ранее в июне крупнейшим кражей была считаться компрометация приватного ключа на Humanity Protocol, при которой 8 июня было якобы украдено 30 миллионов долларов. Сообщается также о отдельном инциденте с Syscoin Bridge накануне, когда 8 миллионов долларов были якобы украдены с помощью эксплуатации фальшивого доказательства.

Aztec Connect был официально объявлен устаревшим в марте 2023 года, когда депозиты были приостановлены, а команда перенаправила ресурсы разработки на следующее поколение Aztec Network. Однако процесс объявления устаревшим не устранил риски, связанные с логикой базового смарт-контракта.

Aztec Labs заявила, что не обладает админ-ключами и поэтому не может приостановить или обновить систему. Это означает, что невозможность изменения платформы командой может оставить известные или возникающие логические ошибки без исправления — особенно если код контракта остается на ethereum.

Крипторазработчик, идентифицированный как «Param», также сообщил, что смарт-контракты Aztec Connect стали полностью неизменяемыми, что означает, что их больше нельзя обновлять или приостанавливать.

Эта комбинация — устаревание без права обновления — помогает объяснить, как уязвимость может проявиться спустя много времени после вывода продукта из эксплуатации. Как отмечается в отчете, этот инцидент еще раз напоминает, что заброшенные или устаревшие DeFi-контракты могут привлекать злоумышленников и спустя годы, особенно когда эксплуатация зависит от фундаментальной семантики контракта, а не от временных операционных параметров.

Следователи, скорее всего, сосредоточатся на том, были ли выведенные средства немедленно перемещены через ликвидные площадки или остаются отслеживаемыми в цепочке блоков, в то время как реакция экосистемы Aztec может быть направлена на подтверждение масштаба воздействия и укрепление границ между логикой верификации и расчетов. Для пользователей практический вывод заключается в том, чтобы рассматривать устаревшие контракты как по-прежнему рискованные: неизменяемый код может оставаться уязвимым долгое время после отключения депозитов.

Эта статья была первоначально опубликована как Aztec Connect: заброшенный смарт-контракт был опустошен на $2,1 млн на Crypto Breaking News — вашем надежном источнике новостей о криптовалютах, новостей о bitcoin и обновлений блокчейна.