Викинута смартконтракт Aztec Connect викрав $2,1 млн

Aztec Connect, застаріла DeFi-платформа, пов’язана з Aztec Network, була, як повідомляється, ограблена на суму близько 2,1 мільйона доларів США в криптовалюті після того, як нападник використав вразливість у логіці перевірки транзакцій платформи. Цей інцидент підкреслює, як «забуті» контракти можуть залишатися привабливими цілями довго після їх офіційного зняття з експлуатації.

Aztec Labs повідомила в X, що розслідує потенційний експлойт, який впливає на Aztec Connect, і що приблизно 2,1 мільйона доларів США було переведено зі смартконтракту платформи. Компанія додала, що ця проблема не вплинула на користувачів чи активи на поточній мережі Aztec.

• Приблизно $2,1 мільйона було вкрадено з Aztec Connect після того, як нападник використав її шлях верифікації та розрахунків.
• BlockSec зазначив, що підтверджені транзакції не були ефективно прив’язані до набору транзакцій, що підтримується ZK-доведенням, що створило шлях для виведення непідтримуваних балансів.
• Згідно з повідомленнями, нападник використав експлойт сім разів на сім активах, накопичивши 909 ETH і 270 000 DAI, серед інших.
• Aztec Connect було знято з експлуатації у березні 2023 року, депозити було призупинено, а команда перейшла на Aztec Network.
• Aztec Labs заявила, що не має адміністративних ключів і не може призупинити або оновити Aztec Connect, тоді як розробник сказав, що контракти стали повністю незмінними.

У своєму публічному оновленні Aztec Labs описала очевидний експлойт, що вплинув на смартконтракт Aztec Connect, і зазначила, що було переведено близько 2,1 мільйона доларів США. Компанія підкреслила, що інцидент не вплинув на активи чи баланси користувачів на живій мережі Aztec.

Aztec Connect пов’язаний з екосистемою ZK-rollup, спрямованою на конфіденційність, побудованою на Ethereum. Згідно з тим самим контекстом, наданим у звіті, Aztec Connect був попередньою версією платформи, запущеною у 2022 році як DeFi міст.

Компанія з безпеки BlockSec сказала, що нападник скористався невідповідністю між тим, як Aztec Connect перевіряє транзакції, і тим, як він їх фіксує на Ethereum.

Пояснення BlockSec зосереджувалося на тому, як система обробляла відношення між перевіреними транзакціями та набором транзакцій, що підтримуються ZK-доведенням. За їхньою думкою, транзакції, схвалені через маршрут верифікації Aztec Connect, не були ефективно прив’язані до набору транзакцій, що підтримується ZK-доведенням. Ця прогалина дозволила логіці верифікації та розрахунку контракту на Ethereum інтерпретувати список транзакцій по-іншому.

З цією невідповідністю атакуючий міг розміщувати транзакції, за якими контракт зараховував значення без відповідної перевірки на Ethereum. BlockSec зазначив, що це дозволило створювати непідтверджені баланси, які потім можна було зняти.

BlockSec також повідомив, що атакувач багаторазово використовував цю техніку — сім разів по сім різним активам — замість того, щоб залежати від одного масштабного викиду.

Згідно з повідомленнями, у крадіжці було вкрадено 909 Ether (ETH), 270 000 Dai (DAI), 167 обгорнутих стейканих ETH та кілька інших криптовалют. У початковому звіті посилалися на окремий пост від CertiK, який демонстрував приклади деяких вкрадених активів.

Інцидент з Aztec Connect стався на тлі активного періоду атак на DeFi. Дані DeFiLlama, згадані у звіті, свідчать, що цього місяця з щонайменше 12 окремих експлойтів було вкрадено криптовалют на суму $44 мільйони.

На початку червня найбільшим крадіжкою було зазначено компрометацію приватного ключа на Humanity Protocol, при цьому 8 червня було втрачено 30 мільйонів доларів США. Звіти також згадують окремий інцидент із Syscoin Bridge на попередній день, коли через експлойт фейкового доказу було вкрадено 8 мільйонів доларів США.

Aztec Connect був офіційно знятий з експлуатації у березні 2023 року, коли було припинено депозити, а команда перенаправила розробничі ресурси на наступне покоління Aztec Network. Однак процес зняття з експлуатації не виключив ризик, пов’язаний з логікою базового смартконтракту.

Aztec Labs заявила, що не має адміністративних ключів і, отже, не може призупинити або оновити систему. Це означає, що неможливість налаштування платформи командою може залишити відомі або нові логічні недоліки непов’язаними — особливо якщо код контракту залишається на ethereum.

Крипто-розробник, якого ідентифікували як «Param», також сказав, що смартконтракти Aztec Connect стали повністю незмінними, що означає, що їх більше не можна оновлювати або призупиняти.

Ця комбінація — зняття з експлуатації без повноважень на оновлення — допомагає пояснити, як експлойт може виявитися через багато часу після виведення продукту з експлуатації. Як зазначено у звіті, цей інцидент ще раз нагадує, що покинуті або зняті з експлуатації DeFi-контракти все ще можуть привертати атакувачів роки потому, особливо коли експлойт залежить від фундаментальної семантики контракту, а не від тимчасових операційних параметрів.

Слідчі, ймовірно, зосередяться на тому, чи були виведені кошти негайно переміщені через ліквідні платформи чи залишаються відстежуваними в ланцюгових потоках, тоді як відповідь екосистеми Aztec може зводитися до підтвердження масштабу впливу та посилення меж між логікою верифікації та розрахунків. Для користувачів практичний висновок полягає в тому, щоб вважати застарілі контракти все ще ризикованими: незмінний код може залишатися вразливим довго після вимкнення депозитів.

Ця стаття була спочатку опублікована як Aztec Connect: покинутий смартконтракт вивіз $2,1 млн на Crypto Breaking News – вашому надійному джерелі новин про криптовалюти, новин про bitcoin та оновлень блокчейну.