Aztec знову став жертвою безпекової події, яка вплинула на застарілий, вже припинений платіжний продукт. Зловмисники, підробивши докази rollup, вивели з резервів протоколу 1 158 ETH, 150 000 DAI та 0,46 renBTC, згідно з оцінками, збитки становлять приблизно 2,15 мільйона доларів США.
Заплутані контракти були виведені з експлуатації у 2022 році
Aztec Labs підтвердила, що використаний смарт-контракт належав платіжному продукту, який був виведений з експлуатації ще в 2022 році. Команда зазначила, що цей контракт є незмінним — його неможливо призупинити або змінити, і команда більше не має адміністративних ключів, які дозволяли б впливати на його роботу.
Це означає, що, незважаючи на те, що відповідні продукти давно припинили роботу, контракти в ланцюжку продовжують існувати, а їхні активи все ще можуть стати мішенню для атак. Ця подія знову виявила, що застаріла інфраструктура після припинення підтримки може залишати довгострокові ризики.
Кілька днів тому відбувся подібний випадок
Кілька днів тому інший продукт приватного rollup від Aztec — Aztec Connect — також зазнав атаки, втративши приблизно 2,1 млн доларів США. Цей продукт був офіційно виведений з експлуатації у березні 2023 року. Після інциденту Aztec призупинила депозити та зосередила розробку на новому поколінні Aztec Network.
Проте, хоча продукт уже виведено з експлуатації, у старих контрактах все ще залишаються частини коштів історичних користувачів, що створює простір для використання атакуючими. Дві послідовні події знову звернули увагу ринку на безпеку залишкових активів у виведених з експлуатації протоколах.
Органи безпеки попереджають про ризики старих контрактів
Кілька безпечних дослідницьких інститутів зазначили, що зупинені контракти, якщо залишаються в ланцюжку і містять активи всередині, можуть стати довгостроковою мішенню для хакерів. Платформа аналізу ризиків Blockful недавно попередила, що після припинення підтримки проєкту старі контракти часто перетворюються на «відкриті мішені» для атакувачів.
SlowMist також зазначив у післявипадковому аналізі, що залишкові активи, якщо довго залишаються в застарілих контрактах, постійно збільшують ризики безпеки. Їхня рекомендація полягає в тому, щоб під час виведення з експлуатації старих продуктів проекти одночасно розробляли чіткий план міграції активів і якомога швидше переводили кошти на нову інфраструктуру.
- Украдені активи включають 1 158 ETH, 150 000 DAI та 0,46 renBTC
- Попередній інцидент стосувався Aztec Connect із збитками приблизно 2,1 мільйона доларів США
- Обидві події пов’язані зі старими контрактами, які були виведені з експлуатації, але ще містять активи.