Kamakalman ng Router contract ng Aztec Network sa Ethereum ay may mga suspicious na transaksyon na nagresulta sa pagkawala ng halos $2.19 milyon na ari-arian. Ipinakita ng on-chain records na ang mga aksyon ay direktang gumamit ng pondo mula sa protocol contract, at nag-udyok sa pagtugon ng mga ahensya sa seguridad.
Ang mga tanong ay tumutukoy sa pagsusuri ng proofData
Sinabi ng security agency na CertiK na may malinaw na anomaliya ang transaksyong ito. Ayon sa unang pagtataya, posibleng nagamit ng attacker ang isang gap sa pag-verify sa smart contract upang makakuha ng hindi awtorisadong pag-access sa mga pondo ng protokolo, o upang baguhin ang logika ng pagpapatupad ng contract at i-transfer ang mga aset.
Batay sa pampublikong pagsusuri, ang problema ay maaaring nasa function na computeRootHashes(). Ang function na ito ay responsable sa pag-verify kung ang _proofData ay epektibo, ngunit ang sakop ng pag-check ay tila nakafokus lamang sa unang kalahati ng data.
Ginagamit ang intermediate data para sa pagpapatupad ng paglipat ng pera
Sa susunod na pagpapatupad, ang processDepositsAndWithdrawals() ay magpapatuloy sa pagbasa ng mga gitnang datos ng _proofData at batay dito ay prosesuhin ang mga paglipat ng token na may kinalaman sa deposito at withdrawal.
Ibig sabihin nito, maaaring lumikha ng isang masamang proof data ang attacker upang ma-pass ang unang bahagi, samantalang isisama ang pinagbago na withdrawal o transfer instruction sa gitnang bahagi na hindi lubos na istrakturang binabale-wala. Sa huli, ang nilalaman na ipinapatupad ng contract ay hindi tugma sa nilalaman na talagang na-verify, na nagresulta sa isang hindi pinahintulutang transfer.
Mga insidente sa kaligtasan na nangyari nang magkakasunod sa huling panahon
Bago at pagkatapos ng insidente, mayroon nang maraming pangyayari sa seguridad sa larangan ng DeFi. Iminungkahi ni Raydium na isang error sa code sa kanilang lumang AMM V3 program ay nagresulta sa pagkawala ng halos $1.34 milyon sa kabuuan ng limang pool.
Isang iba pang pag-atake sa pagpapalit ng pamamahala ay nagresulta sa pagkawala ng halos $1.5 milyong Ethereum mula sa isang liquidity pool ng Balancer. Ang TokenBridge ng Alephium ay ginamit din sa isang bagong pag-atake, kung saan ang attacker ay gumamit ng isang napananagot na guardian key upang magsagawa ng fake VAA at i-transfer ang halos $815,000 sa loob ng 7 minuto.
Karagdagang impormasyon: Ayon sa data ng DeFiLlama, ang kabuuang halaga ng mga pagkakalugi sa chain sa nakaraang 30 araw ay umabot sa $81.73 milyon; mula pa noong 2026, ang kabuuang pagkakalugi ay umabot sa halos $634.85 milyon, kung saan ang Abril ay isa sa mga buwan na may pinakamalaking pagkakalugi ng pondo taon na ito.