Theo tin tức từ ME News, vào ngày 15 tháng 6 (UTC+8), BlockSec Phalcon đã đăng bài cập nhật phân tích sự cố lỗ hổng của Aztec. Sau khi điều tra sâu rộng, nguyên nhân gốc rễ của sự cố không phải do thiếu kiểm soát truy cập, mà do numRealTxs trong RollupProcessorV3 không được ràng buộc một cách bắt buộc với tập giao dịch được xác thực bởi bằng chứng ZK. Cụ thể, đường dẫn xác minh bằng chứng sẽ giải mã tất cả các giao dịch trong encodedInnerTxData và chèn chúng vào cây Merkle của rollup, trong khi logic thanh toán L1 chỉ xử lý numRealTxs giao dịch đầu tiên trong các vị trí đã giải mã. Kẻ tấn công đã khai thác sự không nhất quán này bằng cách đặt các giao dịch gửi tiền thật ở các vị trí phía sau, đồng thời thiết lập numRealTxs thành giá trị nhỏ hơn, từ đó vượt qua các kiểm tra như decreasePendingDepositBalance(), tạo ra số dư tài sản không được bảo đảm và rút tiền thành công. Trong giao dịch tấn công, kẻ tấn công đã tạo đồng thời số dư không được bảo đảm trên nhiều tài sản, sau đó rút tiền thông qua quy trình rút tiền bình thường. Ngoài ra, mặc dù Aztec Connect đã ngừng hoạt động vào ngày 31 tháng 3 năm 2024, hợp đồng RollupProcessorV3 vẫn được nâng cấp vào ngày 10 tháng 4 mà không có sự kiểm toán từ bên ngoài. (Nguồn: Foresight News)
BlockSec xác định nguyên nhân gốc rễ của lỗ hổng Aztec là sự không khớp giữa numRealTxs và tập hợp giao dịch
KuCoinFlashChia sẻ
Tóm tắt
BlockSec đã công bố tin tức mới về chuỗi liên quan đến lỗ hổng của Aztec, xác định nguyên nhân gốc là sự không khớp giữa numRealTxs và tập giao dịch trong RollupProcessorV3. Những kẻ tấn công đã khai thác lỗ hổng này để tạo ra số dư không được xác thực và rút tài sản. Tin tức về lỗ hổng nhấn mạnh cách các khoản nạp thực tế được đặt vào các vị trí sau trong khi numRealTxs được đặt ở giá trị nhỏ hơn, từ đó bỏ qua các kiểm tra quan trọng. Hợp đồng đã được nâng cấp vào ngày 10 tháng 4 năm 2024 mà không có cuộc kiểm toán bên ngoài.
Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này.
Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụng và Tiết lộ rủi ro của chúng tôi.