coin-img-ETHETH+8.98%coin-img-BTCBTC+3.94%coin-img-SOLSOL+9.53%coin-img-XRPXRP+9.47%coin-img-USDCUSDC+0.00%coin-img-HYPEHYPE+11.78%coin-img-TONCOINTONCOIN+3.08%coin-img-TRXTRX+1.42%coin-img-ETHETH+8.98%coin-img-BTCBTC+3.94%coin-img-SOLSOL+9.53%coin-img-XRPXRP+9.47%coin-img-USDCUSDC+0.00%coin-img-HYPEHYPE+11.78%coin-img-TONCOINTONCOIN+3.08%coin-img-TRXTRX+1.42%coin-img-ETHETH+8.98%coin-img-BTCBTC+3.94%coin-img-SOLSOL+9.53%coin-img-XRPXRP+9.47%coin-img-USDCUSDC+0.00%coin-img-HYPEHYPE+11.78%coin-img-TONCOINTONCOIN+3.08%coin-img-TRXTRX+1.42%coin-img-ETHETH+8.98%coin-img-BTCBTC+3.94%coin-img-SOLSOL+9.53%coin-img-XRPXRP+9.47%coin-img-USDCUSDC+0.00%coin-img-HYPEHYPE+11.78%coin-img-TONCOINTONCOIN+3.08%coin-img-TRXTRX+1.42%

С "заброшенного" смарт-контракта Aztec Connect вывели криптоактивы на $2,1 млн

Из выведенной из эксплуатации DeFi-платформы Aztec Connect, связанной с Aztec Network, по сообщениям, похитили около $2,1 млн в криптовалютах. Злоумышленник воспользовался уязвимостью в логике проверки транзакций, что вновь подчеркнуло: даже официально закрытые контракты могут оставаться привлекательной целью спустя годы. Aztec Labs сообщила в X, что изучает потенциальную атаку на Aztec Connect; из смарт-контракта платформы было переведено примерно $2,1 млн. Компания отдельно подчеркнула, что инцидент не затронул пользователей и активы в действующей сети Aztec Network. Ключевые факты: • Порядка $2,1 млн было выведено из Aztec Connect через злоупотребление маршрутом проверки и расчётов. • По оценке BlockSec, проверенные транзакции не были надёжно "привязаны" к набору транзакций, который должен обеспечиваться ZK-доказательством, что открыло возможность выводить необеспеченные балансы. • Эксплойт, как утверждается, был выполнен семь раз по семи активам; в результате злоумышленник накопил 909 ETH и 270 000 DAI, а также другие токены. • Aztec Connect была выведена из эксплуатации в марте 2023 года: депозиты остановили, команда сместила фокус на Aztec Network. • Aztec Labs заявила, что не обладает admin-ключами и не может приостановить или обновить Aztec Connect; разработчик под ником "Param" добавил, что контракты стали полностью неизменяемыми (immutable). Что, по версии Aztec Labs, произошло В публичном обновлении Aztec Labs описала признаки эксплуатации смарт-контракта Aztec Connect и указала на вывод средств примерно на $2,1 млн. В компании отметили, что балансы пользователей и активы в работающей Aztec Network не пострадали. Aztec Connect связан с экосистемой приватного ZK-rollup на базе Ethereum. В отчётном контексте Aztec Connect назывался более ранней версией продукта, запущенной в 2022 году как DeFi-мост. Как слабость в проверке позволила вывести средства BlockSec объяснила атаку несоответствием между тем, как Aztec Connect верифицировал транзакции, и тем, как затем происходили расчёты в Ethereum. По версии исследователей, транзакции, проходившие через маршрут верификации Aztec Connect, не были эффективно связаны с набором транзакций, который обязан обеспечиваться ZK-доказательством. Этот разрыв позволял по-разному интерпретировать список транзакций на этапах проверки и расчёта в Ethereum. При такой рассинхронизации атакующий мог разместить транзакции так, чтобы контракт начислял стоимость без соответствующей валидации в Ethereum. BlockSec указывает, что это приводило к появлению необеспеченных балансов, которые затем можно было вывести. Технику, по данным компании, повторили несколько раз — семь раз по семи различным активам. Какие активы могли быть похищены и общий фон атак Среди похищенного, как сообщается, 909 Ether (ETH), 270 000 Dai (DAI), 167 wrapped staked ETH и ряд других криптоактивов. В исходном материале также упоминался отдельный пост CertiK с примерами части выведенных токенов. Инцидент с Aztec Connect произошёл на фоне активного месяца для DeFi-эксплойтов. По данным DeFiLlama, на которые ссылались в публикации, с начала месяца было украдено $44 млн в криптовалюте как минимум в 12 отдельных атаках. В начале июня крупнейшая потеря связывалась с компрометацией приватного ключа в Humanity Protocol: 8 июня, как сообщалось, было утрачено $30 млн. Также упоминался эпизод с Syscoin Bridge днём ранее, где около $8 млн якобы вывели через эксплойт с поддельным доказательством (fake proof). Почему отметка "deprecated" не остановила атаку Aztec Connect официально признали устаревшей в марте 2023 года, прекратив приём депозитов и переключив ресурсы разработки на Aztec Network нового поколения. При этом сам факт деактивации продукта не устранил риски, связанные с логикой смарт-контрактов. Aztec Labs подчёркивает, что у неё нет административных ключей, а значит она не может ни поставить систему на паузу, ни выпустить обновление. Когда код остаётся в сети Ethereum, отсутствие возможностей управления может оставлять выявленные или возникающие логические ошибки без исправлений. Разработчик "Param" также заявил, что смарт-контракты Aztec Connect стали полностью immutable, то есть их больше нельзя обновить или приостановить. Такая комбинация — вывод из эксплуатации без права апгрейда — помогает понять, почему эксплойт может проявиться спустя длительное время после закрытия продукта. Что дальше Расследование, вероятно, будет сосредоточено на том, были ли выведенные средства оперативно пропущены через площадки ликвидности или их ещё можно отследить в ончейн-потоках. Для экосистемы Aztec ключевыми задачами станут подтверждение границ воздействия инцидента и усиление разделения между логикой верификации и расчётов. Для пользователей вывод практический: даже устаревшие контракты остаются источником риска — неизменяемый код может быть уязвимым задолго после остановки депозитов.
ETH
ETH+8.82%
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.