根據 Aztec Labs 和 區塊鏈安全公司 BlockSec 的說法,攻擊者利用了平台交易驗證過程中的漏洞,從而創建並提領了無Backing的餘額。攻擊者在七筆交易中盜取了 909 ETH、270,000 DAI、167 綁定質押的 ETH 以及其他多項資產。
Aztec Connect 遭到攻擊
週日,已停用的去中心化金融(DeFi)平台 Aztec Connect 遭遇加密貨幣攻擊,導致約 210 萬美元的數碼資產被盜。
Aztec Labs 已確認 在發現資金從 Aztec Connect 的 智能合約
區塊鏈安全研究人員迅速開始分析此次攻擊。安全公司 BlockSec 報告稱,攻擊者利用了平台交易驗證過程中的一個漏洞。具體而言,通過零知識證明驗證交易的方式與最終在以太坊上解釋和結算的方式之間存在不一致。
由於已驗證的交易未正確與零知識證明系統所強制執行的交易集關聯,攻擊者得以操縱驗證路徑。這使得智能合約能夠認可並記入未在以太坊上實際驗證的價值。因此,攻擊者創建了無法兌換的餘額,後續可被提領為合法資產。
該漏洞被重複利用了七次,涉及多種數碼資產。根據安全研究人員的說法,攻擊者盜取了 909 以太坊(ETH)、270,000 Dai(DAI)、167 wrapped 質押的以太坊以及多種其他數碼資產。這些資產的總價值約為 $2.1 百萬。
此事件已成為加密貨幣相關安全漏洞的令人擔憂趨勢的一部分。Data來自 DeFiLlama 表示,截至本月,已有超過 $44 百萬通過至少十幾起獨立攻擊被盜。最大事件涉及 Humanity Protocol,據報導因私鑰洩露而損失約 $3,000 萬美元。另一起重大攻擊針對 Syscoin 橋樑,攻擊者據稱利用偽造的證明機制竊取了約 $800 萬。
Aztec Connect 原於 2022 年推出,是一款基於 Aztec 零知識滾動技術構建的注重隱私的 DeFi 橋樑。然而,該平台於 2023 年 3 月被棄用,開發團隊隨後將重點轉向新一代的 Aztec Network。充幣功能已停止,對舊平台的支持也已實質終止。
Aztec Labs 明確表示,其已不再對 Aztec Connect 智能合約擁有管理控制權。由於這些智能合約被設計為完全不可變,團隊無法在發生安全事件時暫停、升級或修改它們。