已停用Aztec Connect智能合約遭攻擊 失竊約210萬美元加密資產

據報已停用的DeFi平台Aztec Connect（隸屬Aztec Network生態）遭黑客利用交易驗證邏輯漏洞，從其智能合約提走約210萬美元加密資產，再次反映即使產品已"退役"，留在鏈上的合約仍可能長期成為攻擊目標。 Aztec Labs在X表示，正調查一宗疑似影響Aztec Connect的漏洞事件，約210萬美元已從相關智能合約轉出。公司強調，事件未影響現行Aztec Network上的用戶資產及餘額。 重點摘要 - 失竊金額約210萬美元，攻擊者利用Aztec Connect的驗證與結算流程差異，提走未有足夠支撐的餘額。 - 安全公司BlockSec指出，經Aztec Connect驗證通道核准的交易，未能有效綁定至ZK證明所強制的交易集合，令以太坊上的結算邏輯可用不同方式解讀交易列表，從而形成可提取的"空頭"餘額。 - 攻擊者據稱針對7種資產重複操作7次，累計包括909 ETH及270,000 DAI等。 - Aztec Connect早於2023年3月已宣布停用並停止存款，團隊重心轉向新一代Aztec Network。 - Aztec Labs稱並無管理員金鑰，無法暫停或升級Aztec Connect；開發者"Param"亦指相關合約已完全不可變更。 事件細節：Aztec Labs對外說法 Aztec Labs在公開更新中形容事件為Aztec Connect智能合約出現疑似漏洞利用，約210萬美元被轉出。公司指出，Aztec Connect屬以太坊上以私隱為主的ZK Rollup生態一部分，為2022年推出的早期版本DeFi橋接產品。 BlockSec：驗證與結算不一致導致可提取餘額 BlockSec分析指，問題核心在Aztec Connect於"驗證"交易與其在以太坊上"結算"交易時，對交易集合的約束不一致。其觀點認為，經驗證流程批准的交易，未有被有效綁定至ZK證明所約束的交易集合，令合約在以太坊端對交易列表的解讀出現落差。攻擊者可藉此安排交易，使合約在未完成相應驗證的情況下仍記賬入值，生成未有支撐的餘額並提取。BlockSec補充，攻擊者並非一次過清倉，而是分7次、跨7種資產重複操作。 據報被盜資產與近期DeFi攻擊潮 報道指被盜資產包括909 ETH、270,000 DAI、167枚wrapped staked ETH等，多種代幣亦受影響；原報道並引述CertiK帖文展示部分被盜資產例子。 同一報道亦提到近期DeFi漏洞事件頻繁。按DeFiLlama數據，今月截至目前至少12宗獨立事件合共被盜約4,400萬美元。6月初最大單一損失據稱與Humanity Protocol私鑰外洩有關，6月8日約3,000萬美元被盜；另有Syscoin Bridge事件，前一日據稱因偽造證明（fake proof）被盜約800萬美元。 為何"停用"仍擋不住攻擊 Aztec Connect於2023年3月停用並停止存款後，底層智能合約仍留在以太坊上運行。Aztec Labs稱因不持有管理員金鑰，無法暫停或升級系統，意味即使出現已知或新冒起的邏輯缺陷，也未必能被修補。"Param"亦表示Aztec Connect合約已完全不可變更，無法升級或暫停。停用而缺乏升級權限的組合，解釋了產品退役後仍可能在較後時間被利用的原因。 後續觀察 調查焦點預料包括資金是否已透過流動性渠道迅速洗走，抑或仍可在鏈上追蹤；Aztec生態方面則將集中核實影響範圍，並強化驗證與結算邏輯之間的邊界。對用戶而言，實際啟示是將已停用合約視為仍具風險：即使停止存款，不可變更的程式碼仍可能在日後被發現可利用漏洞。