Aztec Connect İptal Edilen Akıllı Sözleşme $2,1 Milyonu Boşalttı

Aztec Connect, Aztec Ağı ile ilişkili eski bir DeFi platformu, bir saldırganın platformun işlem doğrulama mantığında bir zafiyeti kullanması sonucu yaklaşık 2,1 milyon dolarlık kripto para ile boşaltıldığı bildirildi. Bu olay, resmen retir edildikten sonra bile "terk edilmiş" sözleşmelerin uzun süre hedef kalabileceğini gösteriyor.

Aztec Labs, X üzerinde Aztec Connect'i etkileyebilecek bir potansiyel istismarı araştırdığını ve platformun akıllı sözleşmesinden yaklaşık 2,1 milyon doların transfer edildiğini açıkladı. Şirket, sorunun mevcut Aztec Ağındaki kullanıcıları veya varlıkları etkilemediğini ekledi.

• Aztec Connect'ten, saldırganın doğrulama ve çözümleme yolunu kötüye kullanması sonucu yaklaşık 2,1 milyon dolar çalındı.
• BlockSec, doğrulanmış işlemlerin, ZK kanıt tarafından zorunlu kılınan işlem setine etkili şekilde bağlanmadığını ve bunun sayesinde desteksiz bakiyelerin çekilebileceği bir yol oluşturulduğunu söyledi.
• Saldırgan, rapora göre yedi farklı varlık üzerinde yedi kez istismarı gerçekleştirdi ve bunların arasında 909 ETH ve 270.000 DAI biriktirdi.
• Aztec Connect, Mart 2023'te kullanımdan kaldırıldı, yatırma işlemleri durduruldu ve ekip Aztec Network'e geçti.
• Aztec Labs, admin anahtarlarına sahip olmadığını ve Aztec Connect'i durduramayacağını veya yükseltilemeyeceğini belirtti, bir geliştirici ise sözleşmelerin tamamen değişmez hale geldiğini söyledi.

Kamu güncellemesinde Aztec Labs, Aztec Connect'in akıllı sözleşmesini etkileyen görünür bir istismarı tanımladı ve yaklaşık 2,1 milyon doların transfer edildiğini belirtti. Şirket, olayın canlı Aztec Ağı'ndaki varlıklar veya kullanıcı bakiyelerini etkilemediğini vurguladı.

Aztec Connect, Ethereum üzerinde inşa edilmiş gizlilik odaklı ZK rollup ekosistemine bağlıdır. Raporunda sağlanan aynı bağlama göre, Aztec Connect 2022 yılında bir DeFi köprüsü olarak başlatılan platformun daha önceki bir sürümüydü.

Güvenlik firması BlockSec, saldırganın, Aztec Connect'in Ethereum'de işlemleri çözümlerken doğrulama yöntemleri arasındaki uyumsuzluktan yararlandığını söyledi.

BlockSec’in açıklaması, doğrulanmış işlemler ile ZK kanıtının zorladığı işlem kümesi arasındaki ilişkiyi nasıl işlediğine odaklandı. Ona göre, Aztec Connect’in doğrulama yoluyla onaylanan işlemler, ZK kanıtının zorladığı işlem kümesine etkili bir şekilde bağlanmıyordu. Bu boşluk, Ethereum üzerindeki sözleşmenin doğrulama ve çözülme mantığının işlem listesini farklı şekilde yorumlamasına izin verdi.

Bu tutarsızlık nedeniyle, saldırgan, sözleşmenin Ethereum'da ilgili doğrulama gerçekleşmeden değer ataması yapabileceği şekilde işlemler yerleştirebilirdi. BlockSec, bunun desteksiz bakiyelerin oluşturulmasını ve ardından bunların çekilebilmesini sağladığını söyledi.

BlockSec, saldırganın tek bir taramaya değil, yedi farklı varlık üzerinde yedi kez aynı teknikleri tekrarladığını da bildirdi.

Saldırıda yaklaşık 909 Ether (ETH), 270.000 Dai (DAI), 167 sarılmış staked ETH ve birkaç diğer kripto para birimi alındığı bildirildi. Orijinal raporda, CertiK'ten yapılan ayrı bir gönderi, ele geçirilen varlıklardan bazılarının örneklerini göstermek için alıntı yapılmıştı.

Aztec Connect olayı, DeFi istismarları için yoğun bir dönem içinde gerçekleşti. Raporlamada başvurulan DeFiLlama verilerine göre, bu ay şu ana kadar en az 12 ayrı istismardan 44 milyon dolar değerinde kripto para çalındı.

Haziranın başlarında belirtilen en büyük hırsızlık, Humanity Protocol üzerindeki bir özel anahtar ihlaliyle ilişkiliydi ve 8 Haziran'da yaklaşık 30 milyon dolar kaybedildi. Raporlama, bir gün öncesinde Syscoin Köprüsü'nde sahte kanıt istismarı yoluyla 8 milyon doların çalındığına işaret ediyor.

Aztec Connect, mart 2023'te yatırımlar durdurulduğunda ve ekip geliştirme kaynaklarını bir sonraki nesil Aztec Network'e yönlendirdiğinde resmen kullanımdan kaldırıldı. Ancak, kullanımdan kaldırma süreci temel akıllı sözleşme mantığının yarattığı riski ortadan kaldırmadı.

Aztec Labs, yönetici anahtarlarına sahip olmadığını ve bu nedenle sistemi durduramayacağını veya yükseltemeyeceğini açıkladı. Bu, platformun takımdan yapılan ayarlamalara kapalı kalmasını ve sözleşmenin kodu Ethereum'da kalırsa bilinen veya ortaya çıkan mantık hatalarının düzeltilmemesine neden olabilir.

“Param” olarak tanımlanan bir kripto geliştiricisi, Aztec Connect akıllı sözleşmelerinin tamamen değişmez hale geldiğini, yani artık yükseltilemeyecek veya durdurulamayacağını söyledi.

Bu kombinasyon—güncelleme yetkisi olmadan kullanım dışı bırakma—bir ürünün retir edildikten çok sonra bir zafiyetin ortaya çıkmasının nasıl mümkün olduğunu açıklar. Raporlamada belirtildiği gibi, olay, terk edilmiş veya kullanım dışı bırakılmış DeFi sözleşmelerinin, zafiyetin geçici operasyonel parametrelere değil temel sözleşme anlamlarına bağlı olduğunda yıllar sonra hâlâ saldırganları çekebileceğini bir kez daha hatırlatır.

Soruşturma yürütücüler, çekilen fonların hemen likidite mekanizmaları aracılığıyla aktarıldığına ya da zincir içi akışlarda izlenebilir kaldığına odaklanacakken, Aztec ekosisteminin tepkisi etki kapsamını onaylamaya ve doğrulama ile settlement mantığı arasındaki sınırları güçlendirmeye odaklanabilir. Kullanıcılar için pratik çıkarım, eskileşmiş sözleşmeleri hâlâ riskli olarak görmektir: değişmez kod, yatırımlar kapatıldıktan sonra uzun süre istismar edilebilir kalabilir.

Bu makale orijinal olarak Aztec Connect Terk Edilen Akıllı Sözleşmesi 2,1 Milyon Doları Çaldı başlığıyla Crypto Breaking News’te yayımlanmıştı – kripto haberleri, bitcoin haberleri ve blok zinciri güncellemeleri için güvenilir kaynağınız.