Aztec Labsおよびブロックチェーンセキュリティ企業BlockSecによると、攻撃者はプラットフォームの取引検証プロセスの脆弱性を悪用し、裏付けのない残高を作成して出金することに成功しました。攻撃者は7回の取引を通じて、909 ETH、270,000 DAI、167枚のラップドステーク済みETH、およびその他の複数の資産を盗み取りました。
Aztec Connectが攻撃を受けました
日曜日、廃止された分散型金融(DeFi)プラットフォームであるAztec Connectが暗号資産の不正アクセスを受け、約210万ドル相当のデジタル資産が盗まれました。
Aztec Labs 確認したところ、Aztec Connectのスマートコントラクトから資金が不正に引き出されたことを発見した後、この事象の調査を実施している。同社は、この攻撃が古いAztec Connectプラットフォームにのみ影響し、現在のAztec Network上のユーザー、資金、資産には影響しなかったと説明しました。チームによると、攻撃中に約210万ドルがスマートコントラクトから転送されました。
ブロックチェーンセキュリティ研究者は、この攻撃の分析を迅速に開始しました。セキュリティ企業BlockSecは、攻撃者がプラットフォームのトランザクション検証プロセスに存在する脆弱性を悪用したと報告しました。具体的には、ゼロ知識証明を通じたトランザクションの検証方法と、最終的にEthereum上で解釈および決済される方法との間に不一致がありました。
検証済みのトランザクションがゼロ知識証明システムによって強制されるトランザクションセットに適切に結び付けられていなかったため、攻撃者は検証パスを操作できました。これにより、スマートコントラクトはEthereum上で実際に検証されていない価値を認識し、 crediting することができました。その結果、攻撃者は後で正当な資産として引き出せる裏付けのない残高を作成しました。
この攻撃は複数のデジタル資産に対して7回繰り返されました。セキュリティ研究者によると、攻撃者は909 Ethereum(ETH)、270,000 Dai(DAI)、167 wrappedこの事件は、暗号資産関連のセキュリティ侵害の懸念される傾向の一部となりました。Dataによると、今月だけで既に12件以上の攻撃により4,400万ドル以上が盗まれています。最大の事案は、Humanity Protocolが秘密鍵の漏洩により約3,000万ドルを失ったと報告されています。もう一つの重大な攻撃がSyscoin Bridgeを標的とし、攻撃者は偽の証明メカニズムを悪用して約800万ドルを盗んだとされています。
Aztec Connectは2022年にAztecのゼロ知識ロールアップ技術を基盤とするプライバシー重視のDeFiブリッジとしてリリースされました。しかし、開発チームが次世代のAztec Networkに注力し始めたことを受けて、2023年3月にこのプラットフォームは非推奨となり、入金は停止され、旧プラットフォームのサポートは実質的に終了しました。
Aztec Labsは、Aztec Connectコントラクトに対する管理権をもはや持っていないことを明確にした。スマートコントラクトは完全に不変になるように設計されているため、チームはセキュリティインシデントに対応してそれらを一時停止したり、アップグレードしたり、変更したりすることはできない。