Aztec Networkが3日間で2回のハッキングにより400万ドル以上を失う

iconCoinJournal
共有
This is the logo of the coin.
AZTEC
$0.01506-1.95%
AI summary icon概要
  • レガシーなAztec Networkの契約が3日間で400万ドル以上が不正に引き出されました。
  • 攻撃者はゼロ知識証明の検証ロジックの欠陥を悪用しました。
  • 核心のAztecネットワークおよびAZTECトークンは、この攻撃の影響を受けませんでした。

アズテックのレガシーインフラは、3日間で400万ドルを超える損失を生んだ一連の攻撃を受けました。

この攻撃は、数年前にすでに停止されたが、オンチェーンの流動性を still 持ち続けている廃止されたスマートコントラクトを標的とした。

非活性で不変であるとラベル付けされていたにもかかわらず、これらの契約はゼロ知識証明の検証ロジックの脆弱性を悪用した攻撃者によって依然としてアクセス可能であった。

これらの攻撃は、現在のAztecネットワークやそのAZTECトークンに影響を与えませんでしたが、アクティブなメンテナンスやアップグレードパスが存在しないままEthereum上に残り続けている、退役したDeFiシステムに関連する長年のリスクを露呈しました。

最初の侵入:Aztec Connectから210万ドルが不正に抜き取られました

最初の事象は、退役フェーズを経て公式にシャットダウンされたプライバシー重視のブリッジであるAztec Connectプロトコルが攻撃者によって悪用された6月14日に発生しました。

契約はすでに非アクティブと見なされていましたが、依然として残高が残っていました。

攻撃者は、約909 ETH、270,000 DAI、167 wstETHを含む、約210万ドル分のデジタル資産を奪取しました。

この攻撃は、ロールアップ証明の検証処理に存在する欠陥に関連しており、不正または操作された証明が正当なものとして受け入れられる可能性がありました。

状況をさらに深刻にしたのは、契約そのものの性質でした。

Aztec Connectは不変であると説明され、デプロイ後は一時停止またはパッチを適用できないことを意味する。

ユーザーにはシャットダウン前に資金を出金するよう以前に促されていましたが、残高は数年後に容易に悪用される標的となりました。

この事象を検証したセキュリティチームは、ゼロ知識証明の検証とオンチェーン決済ロジックの間の関係に破綻が生じていたと指摘しました。

簡単に言えば、システムは基礎となる取引状態と正しく一致しない証明を受け入れ、攻撃者が不正な引き出しを引き起こすことを許してしまいました。

二番目の攻撃:プライベートロールアップブリッジが215万ドル分不正に悪用される

たった三日後、二番目の攻撃が、プライベートロールアップブリッジと知られる別のレガシーシステムを襲いました。

この契約は、Aztecの古いインフラの一部でもあり、以前のロールアップ設計からの移行に伴い非推奨となりました。

この場合、攻撃者は当時約215万ドルに相当する約1,158 ETHを不正に奪い取りました。

使用された方法は実行方法は異なりましたが、技術的な根本原因は似ていました。

攻撃者は、基本的な証明の不一致を通じて引き出しを直接操作するのではなく、ブリッジ設計に組み込まれた脆弱な「脱出手段」メカニズムを悪用しました。

攻撃者は特別に作成されたゼロ知識証明を提出することで、コントラクトの終了ロジックをトリガーしました。

システムは、基礎となる状態遷移の適切な検証なしに、証明を誤って検証し、資金を解放しました。

これにより、攻撃者は単一の協調された手順で流動性を抽出できました。

前の攻撃と同様、この侵害は秘密鍵の漏洩や再入力の脆弱性を伴っていません。

代わりに、公式にサービス終了後も契約がオンチェーンで永続的にアクティブなままになるというレガシー・ロールアップシステムにおける証明検証の構造に内在するより深い問題が浮き彫りになりました。

Aztecおよびセキュリティ企業からの返答

両方の事象後、Aztec LabsおよびAztec Foundationは、影響を受けたシステムが現在のAztecネットワークやAZTECトークンエコシステムとは無関係の廃止された製品であることを確認しました。

彼らは、両方の契約がデプロイ時に不変となるように設計されているため、アップグレード、一時停止、または制御できないことを強調しました。

セキュリティ企業のCertiK Alertはプライベートロールアップブリッジの攻撃を警告し、攻撃者のアドレスを特定し、特定のEthereumトランザクションに関連する資金の移動を確認しました。

彼らの分析は他のレビューと一致し、脆弱性は従来のスマートコントラクトのバグではなく、ゼロ知識証明の検証に存在的な欠陥から生じたことを示唆している。

アズテックの代表者は、プライベートロールアップブリッジとアズテックコネクトの事象が、短い時間枠内で発生し、類似した技術的脆弱性を共有していたものの、別々のイベントであることを明確にした。

投稿 Aztec Network、3日間で2回のハッキングにより400万ドル以上を失う は、CoinJournal で最初に掲載されました。

出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。 デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。