Согласно Aztec Labs и компании по безопасности блокчейна BlockSec, злоумышленник воспользовался уязвимостью в процессе проверки транзакций платформы, что позволило ему создавать и выводить неподкрепленные балансы. Злоумышленник похитил 909 ETH, 270 000 DAI, 167 обернутых заблокированных ETH и несколько других активов в рамках семи транзакций.
Aztec Connect подвергся атаке
В воскресенье устаревшая децентрализованная финансовая платформа (DeFi) Aztec Connect подверглась криптоатаке, в результате которой было украдено цифровых активов на сумму около 2,1 миллиона долларов.
Aztec Labs подтвердила, что расследует инцидент после обнаружения, что средства были изъяты из смарт-контракта
Исследователи безопасности блокчейна быстро приступили к анализу эксплойта. Компания по безопасности BlockSec сообщила, что злоумышленник воспользовался уязвимостью, связанной с процессом проверки транзакций платформы. В частности, существовало несоответствие между тем, как транзакции проверялись с помощью доказательств с нулевым разглашением, и тем, как они в конечном итоге интерпретировались и оформлялись на ethereum.
Поскольку проверенные транзакции были неправильно связаны с набором транзакций, контролируемым системой доказательства с нулевым разглашением, злоумышленнику удалось манипулировать путем проверки. Это позволило смарт-контракту распознать и зачислить стоимость, которая фактически не была проверена на ethereum. В результате злоумышленник создал неподкрепленные остатки, которые позже можно было вывести в качестве легитимных активов.
Эксплуатация была повторена семь раз для нескольких цифровых активов.Согласно исследователям безопасности, злоумышленник похитил 909 Ethereum (ETH), 270 000 Dai (DAI), 167 wrappedИнцидент теперь является частью тревожной тенденции кибератак, связанных с криптовалютами. Данные от DeFiLlama показывают, что за этот месяц уже было похищено более 44 миллионов долларов США как минимум в десятке отдельных атак.Крупнейший инцидент затронул Humanity ProtocolAztec Connect изначально был запущен в 2022 году как DeFi-мост с акцентом на конфиденциальность, построенный на технологии zero-knowledge rollup от Aztec. Однако платформа была прекращена в марте 2023 года после того, как команда разработчиков сосредоточилась на следующем поколении сети Aztec. Депозиты были остановлены, а поддержка старой платформы фактически прекращена.
Aztec Labs подчеркнула, что больше не имеет административного контроля над смарт-контрактами Aztec Connect. Поскольку смарт-контракты были разработаны как полностью неизменяемые, команда не может приостанавливать, обновлять или изменять их в ответ на инциденты безопасности.