Aztecが再びセキュリティイベントに見舞われ、影響を受けたのはすでに廃止された旧支付製品である。攻撃者は偽のrollup証明を用いて、プロトコルの準備金から1,158枚のETH、15万枚のDAI、および0.46枚のrenBTCを転送し、報道によると損失は約215万ドルと推定されている。
影響を受けた契約は2022年に廃止されました。
Aztec Labsは、今回悪用されたスマートコントラクトが2022年に廃止された支払い製品であることを確認しました。チームは、このコントラクトが不変であり、一時停止や変更が不可能であり、現在はその動作を介入するための管理キーを保有していないと述べています。
これは、関連製品がすでに運用を終了しているにもかかわらず、チェーン上の契約が依然として存在し、その中の資産が依然として攻撃の標的となり得ることを意味します。今回の事件は、メンテナンスが停止された旧型インフラが、長期的なリスクを残し続ける可能性があることを再び浮き彫りにしました。
数日前に類似の出来事が発生しました
数日前、Aztec が運営するもう一つのプライバシーロールアップ製品である Aztec Connect も攻撃を受け、約210万ドルの損失を出した。この製品は2023年3月に正式にサービスを終了している。事件後、Aztec は預金を一時停止し、開発の重点を次世代の Aztec Network にシフトした。
しかし、製品はすでに廃止されていますが、旧契約には依然として一部の過去のユーザー資金が残っており、これが攻撃者に利用される隙を与えています。連続して発生したこの2件の出来事により、市場は廃止されたプロトコルに残された資産のセキュリティ問題に再び注目しています。
セキュリティ機関が旧契約のリスクを警告
複数のセキュリティ研究機関は、契約がチェーン上に残ったままになり、内部に資産が残っている場合、ハッカーの長期的な標的となる可能性があると指摘しています。リスク分析プラットフォームのBlockfulは最近、プロジェクトのメンテナンスが停止した後、旧契約は攻撃者向けの「公開ターゲット」になりがちであると警告しました。
SlowMistは事後分析において、未使用の契約内に資産が長期にわたり残存すると、セキュリティリスクが継続的に拡大すると指摘しました。同社は、プロジェクトが旧製品を廃止する際、資金を早期に新しいインフラに移管する明確な資産移行計画を同時に策定することを推奨しています。
- 本次の盗難により、1,158枚のETH、15万枚のDAI、および0.46枚のrenBTCが失われました。
- 前回のイベントはAztec Connectに関連し、約210万ドルの損失が発生しました。
- 両方のイベントは、無効化されたが依然として資産を保有している旧契約に関連しています。