Ang Router contract ng Aztec Network ay nasa balita pagkatapos maging paksa ng isang makabuluhang transaksyon na natuklasan sa Ethereum [ETH] blockchain. Nagresulta ito sa pagkawala ng mga ari-arian na may halagang halos $2.19 milyon.
Sa totoo lang, ang wallet address na “0x0f18….edd17” ay gumamit ng pera mula sa Router contract ng protocol upang maisagawa ang transaksyon.
Ayon sa CertiK, ang pag-atake ay “maliwanag” dahil maaaring nag- aprove ang attacker ng isang kahinaan sa smart contract, nakakuha ng hindi awtorisadong pag-access sa mga pondo ng protokolo, o binago ang lohika ng contract upang maalis ang mga ari-arian.
Isang posibleng pagkakamali sa pagpapatotoo ng smart contract
Gayunpaman, may ilang tanda na nagmumungkahi na ang pagtrato ng protocol sa mga patunay ay may kakaibang pagkakamali sa proseso ng smart contract validation. Ang problema ay partikular na nakatuon sa function na computeRootHashes(), na nagmamalay sa pagpapatotoo sa kawastuhan ng ibinigay na _proofData ngunit tanging sinuri ang unang bahagi nito.
Gayunpaman, ang gitnang bahagi ng parehong _proofData payload ay naglalaman ng data na ginamit ng processDepositsAndWithdrawals() upang isagawa ang pag-transfer ng mga token.
Kaya, maaaring gumawa ng isang masasamang patotoo ang isang attacker kung saan ang hindi binibigyang-pansin na gitnang bahagi ay naglalaman ng manipuladong mga utos para sa pag-deposit o pag-withdraw, habang nanatiling wasto at lumampas sa mga pagsusuri ng seguridad ng protokolo ang pinatotohanang bahagi.
Sa kanyang bahagi, natapos ng kontrata na isagawa ang mga hindi pinahintulutang pag-transfer ng token bilang resulta ng mga instruksyon na hindi sapat na na-authenticate bago iproseso. Sa simpleng salita, may pagkakaiba ang napatunayan at ang talagang isinagawa.
Higit pa sa mga ganitong insidente
Ang oras dito ay interesante dahil natuklasan din ni Raydium ang coding error sa dating AMM V3 program na nagresulta sa pagkawala ng cryptocurrencies na halaga ng $1.34 milyon mula sa limang pool.
Samantay, isa pang pag-atake sa pagkukontrol ng pamamahala ang nakakakuha ng halos $1.5 milyon sa Ethereum mula sa isang liquidity pool ng Balancer.
Isang bagong exploit na tumarget sa Ethereum’s Alephium TokenBridge ay natuklasan rin sa huling panahon. Sa exploit na ito, $815,000 ang tinanggap sa loob ng pitong minuto gamit ang tatlo sa apat na nakompromiso na guardian keys na nag-sign ng forged VAAs (Verified Action Approvals).
Gayundon naman, ayon sa isang independiyenteng imbestigasyon ng Quantstamp, inugnay ng Humanity Protocol ang isang targeted phishing attack laban sa isa sa mga direkto nito sa pagkuha ng administratibong credentials ng attacker, pag-upgrade sa mga contract, pag-transfer ng Ethereum tokens, at paglikha ng mga bagong H token sa BNB Chain.
Sa kabuuan, ang Kabuuang Halagang Hacked (USD) ay nakakamit na ang $81.73 milyon sa loob ng 30 araw, ayon sa datos ng DeFiLlama. Kasama ang $634.85 milyong nawala lamang sa 2026, ang Abril ay nakakita ng pinakamataas na halagang tinanggal hanggang ngayon.
Huling Buod
- Ang kamalian ay tila dulot ng hindi kompletong pag-verify ng _proofData.
- Ang episyodo ay ang pinakabagong sa isang serye ng mga pagkakamali sa seguridad ng DeFi.