Эксплойт Aztec Connect подчеркивает риски устаревших DeFi-контрактов

Все новости

Главные новости

Выбор редакции

Криптовалюты

Финансы

Валюты

Взгляды экспертов

Новости регуляторов

Новости центральных банков

Анна Синявская

10 часа назад

Эксплойт Aztec Connect подчеркивает риски устаревших DeFi-контрактов — Aztec Connect потерял $2,1 млн из-за эксплойта старого контракта

Aztec Connect, прекративший работу DeFi-мост с фокусом на конфиденциальность, подвергся эксплойту: злоумышленник вывел около $2,1 млн из старого смарт-контракта на Ethereum. Инцидент не затронул текущую сеть Aztec Network, но подчеркнул давнюю проблему безопасности в сфере децентрализованных финансов: закрытые продукты все еще могут хранить средства и подвергаться атакам.

Основные моменты

Aztec Connect потерял около $2,1 млн из-за старого неизменяемого контракта на Ethereum.
Aztec Labs заявила, что текущие пользователи и активы Aztec Network не пострадали.
Поддержка платформы была прекращена в марте 2023 года после остановки депозитов.

Aztec Labs сообщила, что расследует потенциальный эксплойт, затронувший Aztec Connect, после того как около $2,1 млн были выведены из неизменяемого контракта платформы. Компания заявила, что поддержка Aztec Connect была прекращена в марте 2023 года и что Aztec Labs больше не владеет административными ключами и не контролирует систему.

Loading...

Твит был удалён автором.

Но мы всё сохранили 🙂.

Средства остались после закрытия

Aztec Connect когда-то позволял пользователям получать доступ к DeFi через ориентированный на конфиденциальность zero-knowledge rollup на Ethereum. Когда продукт выводился из эксплуатации, депозиты были остановлены, а пользователям дали время на вывод средств из старой системы.

Однако часть активов осталась внутри контракта. Поскольку контракты стали полностью неизменяемыми (immutable), их больше нельзя было обновить или приостановить. В отличие от активного протокола, у старой системы не было оператора, способного остановить активность после начала подозрительных транзакций, поэтому ответные меры ограничились публичными предупреждениями, ончейн-отслеживанием и проверкой пользователями своих кошельков на предмет уязвимости.

Фирмы по безопасности отслеживают атаку

Команда Phalcon из BlockSec сообщила, что атака была направлена на контракт RollupProcessorV3 Aztec Connect на Ethereum, и оценила потери более чем в $2,15 млн. Основная проблема, согласно анализу BlockSec, цитируемому Crypto.News, заключалась в несоответствии между тем, как транзакции проверялись, и как они рассчитывались в Ethereum.

Это несоответствие позволило злоумышленнику создавать балансы, не обеспеченные реальной стоимостью в Ethereum, а затем выводить их. Эта схема была повторена семь раз с различными активами. В список украденных активов вошли 909 ETH, около 270000 DAI, 167 wrapped staked ETH и небольшие суммы в других токенах. Сообщается, что кошелек злоумышленника был пополнен через Tornado Cash перед эксплойтом.

Проблема безопасности DeFi продолжает обостряться

Эксплойт Aztec Connect дополнил череду неудач в сфере безопасности DeFi в этом месяце. Трекер взломов DeFiLlama зафиксировал несколько потерь в июне, включая $30 млн у Humanity Protocol 8 июня и $8 млн у Syscoin Bridge 7 июня.

Общая картина неоднозначна. Потери от взломов упали до $68,3 млн в мае, что почти на 90% меньше, чем в апреле, однако CertiK заявила, что недостатки кода по-прежнему стали причиной потерь на сумму около $45 млн в мае, что сделало их основным вектором атак в том месяце.

Почему устаревший код все еще важен

Случай с Aztec показывает, что закрытие протокола не равносильно устранению рисков. Если пользователи оставляют активы в неизменяемых контрактах, а код остается активным в Ethereum, злоумышленники могут продолжать искать лазейки, которые были упущены, пока продукт функционировал.

Для команд DeFi этот урок носит как операционный, так и технический характер. Планы по выводу из эксплуатации должны включать четкие процессы вывода средств, длительные периоды мониторинга и публичную коммуникацию, при которой старые контракты рассматриваются как активные зоны риска. Для пользователей посыл еще проще: средства, оставленные в заброшенных системах, могут оставаться под угрозой спустя годы после того, как продукт вышел из употребления.

Ранее мы сообщали, что токен Humanity Protocol упал на 85% после взлома на $30 млн.

Этот материал может содержать мнения третьих лиц, никакие данные и информация на этой веб-странице не являются инвестиционным советом в соответствии с нашим Отказом от ответственности. Хотя мы придерживаемся строгих Редакционных стандартов, этот пост может содержать ссылки на продукты наших партнеров.