Aztec снова столкнулась с инцидентом безопасности, затронувшим устаревший и уже не используемый платежный продукт. Злоумышленники, подделав доказательства rollup, перевели из резервов протокола 1 158 ETH, 150 000 DAI и 0,46 renBTC, что по оценкам составляет примерно 2,15 миллиона долларов США.
Заключенные контракты были отключены в 2022 году.
Aztec Labs подтвердила, что использованный смарт-контракт относится к платежному продукту, который был отменен еще в 2022 году. Команда заявила, что этот контракт является неизменяемым, его нельзя приостановить или изменить, и команда больше не владеет управляющими ключами, которые могли бы повлиять на его работу.
Это означает, что, несмотря на то, что соответствующие продукты давно прекратили работу, смарт-контракты в цепочке по-прежнему существуют, и активы в них могут оставаться целью атак. Этот инцидент вновь демонстрирует, что устаревшая инфраструктура после прекращения обслуживания может оставлять долгосрочные риски.
Несколько дней назад произошло подобное событие
Несколько дней назад другой продукт Aztec — Aztec Connect — также подвергся атаке, в результате чего были утеряны примерно 2,1 млн долларов США. Этот продукт был официально отключен в марте 2023 года. После инцидента Aztec приостановила пополнения и сосредоточила разработку на новом поколении Aztec Network.
Однако, хотя продукт уже отключен, в старых контрактах по-прежнему сохраняются часть исторических средств пользователей, что создает уязвимость для злоумышленников. Две последовательные инциденты также заставили рынок снова обратить внимание на безопасность оставшихся активов в отключенных протоколах.
Безопасностные органы предупреждают о рисках старых контрактов
Несколько исследовательских организаций в области безопасности отметили, что деактивированные смарт-контракты, остающиеся в блокчейне с сохраненными внутри активами, могут стать долгосрочной целью для хакеров. Платформа анализа рисков Blockful недавно предупредила, что после прекращения поддержки проекта старые смарт-контракты часто превращаются в «открытые цели» для злоумышленников.
SlowMist также отметила в пост-анализе, что оставшиеся активы, долгое время находящиеся в заброшенных смарт-контрактах, постоянно увеличивают уровень экспозиции безопасности. Их рекомендация заключается в том, чтобы проекты при выводе старых продуктов одновременно разрабатывали четкий план миграции активов и как можно скорее переводили средства на новую инфраструктуру.
- Украденные активы включают 1 158 ETH, 150 000 DAI и 0,46 renBTC
- Предыдущее событие касалось Aztec Connect, потери составили около 2,1 млн долларов США
- Оба события связаны со старыми контрактами, которые были отключены, но все еще содержат активы.