幣界網報導:
Aztec 再次遭遇安全事件,受影響的是一款早已停用的舊支付產品。攻擊者透過偽造 rollup 證明,從協議儲備中轉出 1,158 枚 ETH、15 萬枚 DAI 和 0.46 枚 renBTC,按報導估算損失約為 215 萬美元。
受影響合約已於 2022 年停用
Aztec Labs 證實,此次被利用的智能合約屬於 2022 年已棄用的支付產品。團隊表示,該合約為不可變合約,既無法暫停,亦無法修改,且團隊目前不再持有可干預其運行的管理密鑰。
這意味著,儘管相關產品早已退出運營,鏈上合約仍繼續存在,且其中資產仍可能成為攻擊目標。此次事件也再次暴露出,舊版基礎設施在停止維護後,仍可能留下長期風險。
幾天前剛發生過一次類似事件
就在幾天前,Aztec 旗下的另一款隱私 rollup 產品 Aztec Connect 也遭遇攻擊,損失約 210 萬美元。該產品已於 2023 年 3 月正式停用。事發後,Aztec 曾暫停存款,並將開發重心轉向新一代 Aztec Network。
然而,儘管產品已下線,舊合約中仍保留部分歷史用戶資金,這為攻擊者留下了可利用的空間。連續兩起事件,也讓市場重新關注停用協議中遺留資產的安全問題。
安全機構警示舊合約風險
多家安全研究機構指出,停用合約一旦繼續留在鏈上,且內部仍有資產,就可能成為黑客長期盯防的目標。風險分析平台 Blockful 近期就警告稱,項目停止維護後,舊合約往往會變成面向攻擊者的「公開目標」。
SlowMist 在事後分析中也提到,遺留資產若長期留在廢棄合約內,會持續放大安全敞口。其建議是,項目在下線舊產品時,應同步制定明確的資產遷移方案,把資金盡快轉移到新基礎設施中。
- 本次被盗資產包括 1,158 枚 ETH、15 萬枚 DAI 和 0.46 枚 renBTC
- 上一次事件涉及 Aztec Connect,損失約 210 萬美元
- 這兩起事件均與已停用但仍持有資產的舊合約有關