Bumalik ang Aztec sa isang security incident, na nakakaapekto sa isang lumang produkto sa pagbabayad na hindi na ginagamit. Ang mga hacker ay gumamit ng forged rollup proof upang i-transfer ang 1,158 ETH, 150,000 DAI, at 0.46 renBTC mula sa reserve ng protokolo, na may tinatayang pagkawala ng $2.15 milyon ayon sa mga ulat.
Ang mga kontratong naapektuhan ay nasuspensyon na noong 2022
Natoto ng Aztec Labs na ang smart contract na nasakop ay bahagi ng payment product na nasira noong 2022. Sinabi ng team na ang contract ay isang immutable contract, na hindi maaaring ipaalam o baguhin, at ang team ay hindi na nagtataglay ng management key na makakapag-intervene sa pagpapatakbo nito.
Ibig sabihin nito, bagaman ang mga kaugnay na produkto ay nawala na sa operasyon, ang mga smart contract sa blockchain ay patuloy na umiiral, at ang mga ari-arian dito ay maaari pa ring maging layunin ng mga pag-atake. Ipinakita din ng insidente na ito na ang mga lumang imprastruktura ay maaari pang magiwan ng matagalang panganib kahit na hindi na ito pinapanatili.
Nangyari ang isang katulad na pangyayari ilang araw na ang nakalipas
Ilang araw na lang ang nakalipas, ang isa pang produkto ng privacy rollup ng Aztec, ang Aztec Connect, ay nasakop din, na nagresulta sa pagkawala ng halos $2.1 milyon. Ang produkto ay opisyal na isinara noong Marso 2023. Pagkatapos ng insidente, ipinahinga ng Aztec ang mga deposito at isin转向 ang kanilang pag-unlad patungo sa bagong henerasyon ng Aztec Network.
Gayunpaman, bagaman ang produkto ay naisara na, ang ilang mga pondo ng mga nakaraang user ay nananatili pa sa mga lumang kontrata, na nag-iwan ng puwang na maaaring gamitin ng mga attacker. Ang dalawang tuloy-tuloy na pangyayari ay nagbigay din ng muli na pansin sa seguridad ng mga natitirang ari-arian sa mga ipinagbawal na protokolo.
Inirerekomenda ng seguridad ang panganib ng lumang kontrata
Ipinahiwatig ng maraming institusyon sa pag-aaral ng kaligtasan na ang pagpapahinto ng mga kontrata ay maaaring maging matagal na layunin ng mga hacker kung ito ay mananatili sa blockchain at mayroon pa ring mga asset sa loob. Babala ng Blockful, isang platform sa pagsusuri ng panganib, na madalas na naging “tampok na layunin” para sa mga mananakop ang mga lumang kontrata pagkatapos ipagpahinto ang proyekto.
Binanggit din ng SlowMist sa pag-aaral pagkatapos ng insidente na ang mga natitirang asset na nananatili sa nakaraang contract ay magpapalaki ng patuloy na panganib sa seguridad. Ang kanilang rekomendasyon ay ang mga proyekto ay dapat magplano ng malinaw na plano para sa paglipat ng asset habang isinasara ang mga lumang produkto, at ilipat agad ang mga pondo sa bagong imprastruktura.
- Ang mga ari-arian na nasakop sa pagkakawala ay kasama ang 1,158 ETH, 150,000 DAI, at 0.46 renBTC
- Ang nakaraang pangyayari ay naglalaman ng Aztec Connect, na nagdulot ng pagkawala ng halos $2.1 milyon
- Ang parehong pangyayari ay may kinalaman sa mga lumang kontrata na ayon na ayon na pinatalsik ngunit may mga asset pa rin.