Kontrak Router Aztec Network menjadi berita selepas menjadi sasaran transaksi mencurigakan yang ditemui di blok rantai Ethereum [ETH]. Ini menyebabkan kehilangan aset bernilai kira-kira $2.19 juta.
Sebenarnya, alamat dompet “0x0f18….edd17” menggunakan dana daripada kontrak Router protokol untuk menjalankan transaksi tersebut.
Menurut CertiK, serangan itu "mencurigakan" kerana penyerang mungkin telah memanfaatkan kelemahan dalam kontrak pintar, mendapat akses tidak sah kepada dana protokol, atau mengubah logik kontrak untuk mengalihkan aset.
Sebuah kelemahan pengesahan kontrak pintar yang mungkin berlaku
Walau bagaimanapun, beberapa petunjuk menunjukkan bahawa pengurusan data bukti oleh protokol itu cacat dalam proses pengesahan kontrak pintar. Masalahnya khususnya nampaknya berpunca daripada fungsi computeRootHashes(), yang mengawasi pengesahan keabsahan _proofData yang diberikan tetapi hanya mengkaji bahagian pertamanya sahaja.
Walaupun begitu, bahagian tengah beban _proofData yang sama mengandungi data yang kemudian digunakan oleh processDepositsAndWithdrawals() untuk menjalankan pindahan token.
Oleh itu, seorang penyerang mungkin telah mencipta bukti jahat di mana bahagian tengah yang tidak disahkan mengandungi arahan deposit atau penarikan yang dimanipulasi, sementara bahagian yang disahkan kekal sah dan lulus semakan keselamatan protokol.
Sebagai sebahagian daripadanya, kontrak tersebut akhirnya melaksanakan pindahan token yang tidak sah sebagai akibat daripada arahan tersebut tidak diauthentikasi dengan betul sebelum diproses. Dengan kata mudah, terdapat perbezaan antara apa yang disahkan dan apa yang sebenarnya dilaksanakan.
Lebih banyak insiden seperti ini
Masa yang tepat di sini menarik kerana Raydium juga menemui kesalahan pengaturcaraan dalam program AMM V3 lama yang menyebabkan kripto bernilai $1.34 juta dicuri dari lima kolam.
Sementara itu, satu serangan pengambilalihan tata kelola lain melihat seorang penyerang mencuri sebanyak $1.5 juta dalam Ethereum dari kolam likuiditi Balancer.
Sebuah eksploitasi baru yang menargetkan Alephium TokenBridge Ethereum juga ditemukan baru-baru ini. Dalam eksploitasi ini, $815,000 dicuri dalam tujuh minit menggunakan tiga daripada empat kunci penjaga yang telah disusupi yang menandatangani VAAs yang dipalsukan (Verified Action Approvals).
Sama seperti itu, menurut penyiasatan independen Quantstamp, Humanity Protocol mengaitkan serangan phishing yang ditargetkan terhadap salah seorang pengarahnya dengan pemerolehan kredensial pentadbir oleh penyerang, peningkatan kontrak, pindahan token ethereum, dan penciptaan token H baru di BNB Chain.
Secara keseluruhan, Nilai Total yang Dicuri (USD) kini mencapai $81.73 juta dalam 30 hari, menurut data DeFiLlama. Dengan $634.85 juta hilang semata-mata pada 2026, April telah melihat nilai paling tinggi yang disedut sejauh ini.
Ringkasan Akhir
- Cacat kelihatannya disebabkan oleh pengesahan tidak lengkap pada _proofData.
- Episod ini adalah yang paling terkini dalam siri kegagalan keselamatan DeFi.