Недавно на Ethereum были зафиксированы подозрительные транзакции в смарт-контракте Router Aztec Network, в результате чего было утрачено около 2,19 млн долларов США. Цепочка блоков показывает, что соответствующие операции напрямую использовали средства из протокольного контракта, что вызвало внимание со стороны безопасностных организаций.
Подозрения направлены на проверку proofData
Безопасностная организация CertiK заявила, что эта транзакция имеет явные признаки аномалии. Предварительная оценка указывает на то, что злоумышленник, возможно, воспользовался пробелом в проверке в смарт-контракте, чтобы получить неавторизованный доступ к средствам протокола или изменить логику выполнения контракта и вывести активы.
Согласно открытому анализу, проблема может быть в функции computeRootHashes(). Эта функция отвечает за проверку корректности входящих данных _proofData, но проверка, похоже, охватывает только первую половину этих данных.
Промежуточные данные используются для выполнения перевода
В последующем выполнении processDepositsAndWithdrawals() продолжит чтение промежуточных данных из того же _proofData и на их основе обработает перевод токенов, связанных с депозитами и выводами.
Это означает, что злоумышленник может создать вредоносные данные доказательства, чтобы передняя часть прошла проверку, одновременно вставив измененные команды на вывод или перевод в промежуточную часть, которая не была полностью проверена. В результате содержимое, выполненное смарт-контрактом, не совпадает с содержимым, прошедшим проверку, что приводит к неавторизованному переводу.
В последнее время произошло несколько инцидентов безопасности
До и после этого инцидента в сфере DeFi произошло несколько инцидентов безопасности. Ранее Raydium сообщила, что ошибка в коде старой версии AMM V3 привела к потере примерно 1,34 миллиона долларов США в пяти пулах.
Еще одна атака на управление привела к краже около 1,5 млн долларов США в виде Ethereum из одного из пулов ликвидности Balancer. Недавно также была использована уязвимость в TokenBridge Alephium: злоумышленник, воспользовавшись скомпрометированным ключом guardian, подделал VAA и перевел около 815 000 долларов США за 7 минут.
Дополнительная информация: данные DeFiLlama показывают, что за последние 30 дней сумма украденных средств в цепочке составила 81,73 миллиона долларов США; с начала 2026 года общие потери составили около 634,85 миллиона долларов США, причем апрель стал одним из месяцев с наибольшим объемом потерь за год.