สัญญาอัจฉริยะของ Aztec Connect ถูกดูดเงินไป 2.1 ล้านดอลลาร์

Aztec Connect แพลตฟอร์ม DeFi ที่เลิกใช้งานแล้วและเชื่อมโยงกับ Aztec Network ถูกโจมตีและสูญเสียคริปโตประมาณ 2.1 ล้านดอลลาร์สหรัฐ โดยผู้โจมตีใช้ช่องโหว่ในตรรกะการตรวจสอบธุรกรรมของแพลตฟอร์ม เหตุการณ์นี้ชี้ให้เห็นว่าสัญญาที่ถูกทิ้งร้างยังคงเป็นเป้าหมายที่มีศักยภาพแม้จะถูกยกเลิกอย่างเป็นทางการแล้ว

Aztec Labs ระบุบน X ว่ากำลังสอบสวนการโจมตีที่อาจเกิดขึ้นซึ่งส่งผลกระทบต่อ Aztec Connect และมีเงินประมาณ 2.1 ล้านดอลลาร์ถูกโอนออกจากสัญญาอัจฉริยะของแพลตฟอร์ม บริษัทเพิ่มเติมว่าปัญหานี้ไม่ได้ส่งผลกระทบต่อผู้ใช้หรือสินทรัพย์บน Aztec Network รุ่นปัจจุบัน

• มีการขโมยเงินประมาณ 2.1 ล้านดอลลาร์สหรัฐจาก Aztec Connect หลังจากผู้โจมตีใช้ช่องโหว่ในกระบวนการยืนยันและการตั้งtlement
• BlockSec กล่าวว่าธุรกรรมที่ได้รับการยืนยันไม่ได้ถูกผูกไว้อย่างมีประสิทธิภาพกับชุดธุรกรรมที่บังคับใช้โดยหลักฐาน ZK ทำให้เกิดช่องทางในการถอนยอดเงินที่ไม่มีหลักประกัน
• ผู้โจมตีรายงานว่าได้ดำเนินการโจมตีเจ็ดครั้งบนสินทรัพย์เจ็ดรายการ สะสม ETH ETH 909 หน่วยและ DAI 270,000 หน่วย รวมถึงอื่นๆ
• Aztec Connect ถูกเลิกใช้งานในเดือนมีนาคม 2023 โดยการฝากถูกหยุดลง และทีมงานได้ย้ายไปยัง Aztec Network
• Aztec Labs ระบุว่าไม่มีกุญแจผู้ดูแลระบบและไม่สามารถระงับหรืออัปเกรด Aztec Connect ได้ ในขณะที่นักพัฒนาคนหนึ่งกล่าวว่าสัญญาได้กลายเป็นแบบไม่สามารถเปลี่ยนแปลงได้เต็มรูปแบบ

ในการอัปเดตแบบสาธารณะ Aztec Labs ได้อธิบายถึงช่องโหว่ที่ดูเหมือนเกิดขึ้นกับสัญญาอัจฉริยะของ Aztec Connect และระบุว่ามีการโอนเงินออกไปประมาณ 2.1 ล้านดอลลาร์สหรัฐ บริษัทเน้นย้ำว่าเหตุการณ์ดังกล่าวไม่ได้ส่งผลกระทบต่อสินทรัพย์หรือยอดเงินผู้ใช้บนเครือข่าย Aztec ที่ใช้งานอยู่จริง

Aztec Connect เชื่อมโยงกับระบบนิเวศ ZK rollup ที่เน้นความเป็นส่วนตัวที่สร้างขึ้นบน Ethereum ตามบริบทเดียวกันที่ระบุในรายงาน Aztec Connect เป็นรุ่นก่อนหน้าของแพลตฟอร์มที่เปิดตัวในปี 2022 เป็นสะพาน DeFi

บริษัทด้านความปลอดภัย BlockSec ระบุว่าผู้โจมตีใช้ประโยชน์จากความไม่สอดคล้องกันระหว่างวิธีการยืนยันธุรกรรมของ Aztec Connect กับวิธีการปิดรายการบน Ethereum

คำอธิบายของ BlockSec มุ่งเน้นไปที่วิธีที่ระบบจัดการความสัมพันธ์ระหว่างธุรกรรมที่ได้รับการยืนยันกับชุดธุรกรรมที่บังคับโดยหลักฐาน ZK ในมุมมองของพวกเขา ธุรกรรมที่ได้รับการอนุมัติผ่านเส้นทางการตรวจสอบของ Aztec Connect ไม่ได้ถูกผูกมัดอย่างมีประสิทธิภาพกับชุดธุรกรรมที่ถูกบังคับโดยหลักฐาน ZK ช่องว่างนี้ทำให้ตรรกะการตรวจสอบและการตั้งtleของสัญญาบน Ethereum ตีความรายชื่อธุรกรรมต่างออกไป

ด้วยความไม่สอดคล้องกันนี้ ผู้โจมตีสามารถวางธุรกรรมเพื่อให้สัญญาบันทึกมูลค่าโดยไม่มีการตรวจสอบที่เกี่ยวข้องบน Ethereum BlockSec ระบุว่าสิ่งนี้ทำให้สามารถสร้างยอดเงินที่ไม่มีหลักประกัน ซึ่งสามารถถอนออกได้

BlockSec ยังรายงานว่าผู้โจมตีได้ใช้เทคนิคนี้ซ้ำหลายครั้ง—เจ็ดครั้งบนสินทรัพย์ที่แตกต่างกันเจ็ดรายการ—แทนที่จะพึ่งพาการโจมตีแบบครั้งเดียว

การขโมยดังกล่าวรายงานว่ารวมถึง 909 Ether (ETH) 270,000 Dai (DAI) 167 wrapped staked ETH และสกุลเงินดิจิทัลอื่นๆ อีกหลายชนิด การโพสต์อีกฉบับจาก CertiKถูกอ้างอิงในรายงานต้นฉบับเพื่อแสดงตัวอย่างสินทรัพย์บางส่วนที่ถูกยักย้าย

เหตุการณ์ Aztec Connect เกิดขึ้นในช่วงที่มีการโจมตี DeFi อย่างหนาแน่น ข้อมูลจาก DeFiLlama ที่อ้างอิงในการรายงานระบุว่า คริปโตมูลค่า 44 ล้านดอลลาร์สหรัฐได้ถูกขโมยไปแล้วในเดือนนี้ จากการโจมตีอย่างน้อย 12 ครั้ง

เมื่อต้นเดือนมิถุนายน การขโมยครั้งใหญ่ที่สุดที่กล่าวถึงเกี่ยวข้องกับการถูกโจมตีกุญแจส่วนตัวบน Humanity Protocol โดยมีรายงานว่าสูญเสียไป 30 ล้านดอลลาร์สหรัฐในวันที่ 8 มิถุนายน การรายงานยังชี้ไปที่เหตุการณ์ Syscoin Bridge ที่เกิดขึ้นก่อนหน้าหนึ่งวัน โดยมีการกล่าวอ้างว่ามีการขโมย 8 ล้านดอลลาร์สหรัฐผ่านการใช้ประโยชน์จาก proof ปลอม

Aztec Connect ถูกยกเลิกอย่างเป็นทางการในเดือนมีนาคม 2023 เมื่อการฝากถูกหยุดลง และทีมงานได้เปลี่ยนทรัพยากรการพัฒนาไปยัง Aztec Network รุ่นถัดไป อย่างไรก็ตาม กระบวนการยกเลิกไม่ได้กำจัดความเสี่ยงที่เกิดจากตรรกะสัญญาอัจฉริยะพื้นฐาน

Aztec Labs ระบุว่าไม่มีกุญแจผู้ดูแลระบบ จึงไม่สามารถระงับหรืออัปเกรดระบบได้ ซึ่งหมายความว่า ความไม่สามารถในการปรับเปลี่ยนแพลตฟอร์มโดยทีมงานอาจทำให้ข้อบกพร่องทางตรรกะที่รู้จักหรือเกิดขึ้นใหม่ไม่ได้รับการแก้ไข—โดยเฉพาะอย่างยิ่งหากโค้ดสัญญาอยู่บน Ethereum

นักพัฒนาคริปโตที่ระบุตัวตนว่า “Param” ยังกล่าวว่า สัญญาอัจฉริยะของ Aztec Connect ได้กลายเป็นแบบไม่สามารถเปลี่ยนแปลงได้ทั้งหมด หมายความว่าไม่สามารถอัปเกรดหรือระงับได้อีก

การรวมกันนี้—การเลิกใช้งานโดยไม่มีสิทธิ์อัปเกรด—ช่วยอธิบายว่าเหตุการณ์โจมตีสามารถเกิดขึ้นได้หลังจากผลิตภัณฑ์ถูกเลิกใช้งานไปแล้ว ตามที่ระบุไว้ในรายงาน เหตุการณ์นี้เป็นอีกครั้งที่เตือนว่าสัญญา DeFi ที่ถูกทิ้งร้างหรือเลิกใช้งานยังคงดึงดูดผู้โจมตีได้หลายปีต่อมา โดยเฉพาะเมื่อการโจมตีขึ้นอยู่กับความหมายพื้นฐานของสัญญา มากกว่าพารามิเตอร์การดำเนินงานชั่วคราว

ผู้สอบสวนมีแนวโน้มที่จะมุ่งเน้นที่ว่าเงินที่ถอนออกไปถูกโอนผ่านช่องทางสภาพคล่องทันทีหรือยังสามารถติดตามได้ผ่านการไหลเวียนบนโซ่ ในขณะที่การตอบสนองของระบบนิเวศ Aztec อาจมุ่งเน้นที่ยืนยันขอบเขตของผลกระทบและเสริมความแข็งแกร่งของขอบเขตระหว่างตรรกะการตรวจสอบและการตั้งtle สำหรับผู้ใช้ ข้อสรุปเชิงปฏิบัติคือการพิจารณาสัญญาที่เลิกใช้งานแล้วว่ายังคงมีความเสี่ยง: โค้ดที่ไม่สามารถเปลี่ยนแปลงได้ยังคงสามารถถูกใช้ประโยชน์ได้นานหลังจากที่การฝากเงินถูกปิดใช้งาน

บทความนี้เผยแพร่ครั้งแรกในรูปแบบ Aztec Connect สัญญาอัจฉริยะถูกทิ้งร้างและถูกดูดเงินไป 2.1 ล้านดอลลาร์ บน Crypto Breaking News – แหล่งข่าวคริปโตที่เชื่อถือได้สำหรับข่าวคริปโต ข่าว Bitcoin และการอัปเดตบล็อกเชน