Aztec Connect 是一个已弃用的去中心化金融 (DeFi) 平台,在攻击者成功操纵其智能合约验证功能中的漏洞后,周日遭受了 210 万美元的攻击。
Aztec Labs 在社交媒体帖子中证实了这一事件,并表示正在调查潜在的漏洞。该公司澄清称,约 210 万美元是从该平台已弃用的智能合约中转出的。重要的是,该漏洞不会影响当前活跃的 Aztec 网络上的用户或资产。
据区块链安全公司 BlockSec 称,攻击者利用了 Aztec Connect 验证交易并在以太坊区块链上结算交易方式的严重不匹配。该公司的分析显示,Aztec Connect 合约上经过验证的交易“并未有效地与 ZK 证明所执行的交易集绑定”。这一缺陷使得以太坊上的验证和结算逻辑对交易列表的解释与预期不同。
此漏洞使攻击者能够在合约记入价值的地方进行交易,而无需在以太坊上正确验证它。此过程在合约中创建了无支持的余额,攻击者随后可以提取这些余额。同样的方法在七种不同的加密货币资产中执行了七次。
被盗资金包括 909 以太币 (ETH)、270,000 Dai (DAI)、167 质押 ETH (wstETH) 以及其他几种加密货币。
Aztec Network 是一个基于以太坊构建的注重隐私的第 2 层零知识 (ZK) 汇总。 Aztec Connect 是其前身,于 2022 年作为 DeFi 桥推出。 Aztec Connect 平台于 2023 年 3 月正式弃用,随着开发团队将所有资源转移到构建下一代 Aztec 网络,存款已停止。
“Aztec Labs 没有管理密钥或对系统的控制;我们无法暂停或升级它,”该团队表示,并强调了已弃用的智能合约的去中心化和不可变性质。加密货币开发人员“Param”指出,在弃用后,Aztec Connect 的合约变得“完全不可变”,这意味着它们无法再升级或暂停以防止此类攻击。
此事件是 6 月份加密货币漏洞利用大趋势的一部分。 DeFiLlama 的数据表明,本月至少有 12 个单独的漏洞导致超过 4400 万美元被盗。最大的单一事件发生在 6 月 8 日,Humanity Protocol 的私钥泄露导致了 3000 万美元的损失。
安全专家指出,Aztec Connect 漏洞是一个鲜明的提醒,即放弃的 DeFi 合约即使已被弃用多年,仍然是攻击者寻求利用不可变代码中被忽视的漏洞的潜在目标。