Повторный эксплойт Aztec на $2,16 млн вызывает опасения по поводу устаревших DeFi-контрактов

Все новости

Главные новости

Выбор редакции

Криптовалюты

Финансы

Валюты

Взгляды экспертов

Регуляторы

Центральные банки

Паршва Турахия

13 часа назад

Повторный эксплойт Aztec на $2,16 млн вызывает опасения по поводу устаревших DeFi-контрактов — Старый мост Aztec потерял $2,16 млн

Aztec Labs подверглась второму эксплойту менее чем за неделю: злоумышленник вывел около $2,16 млн из устаревшего моста Private Rollup Bridge, который был закрыт несколько лет назад. Инцидент не затронул текущую сеть Aztec или токен AZTEC, но вновь привлек внимание к старым смарт-контрактам, которые остаются активными в блокчейне даже после прекращения поддержки продуктов.

Основные моменты

Устаревший Private Rollup Bridge от Aztec потерял около $2,16 млн.
Злоумышленник вывел ETH, DAI и renBTC из старых неизменяемых контрактов.
В Aztec заявили, что текущая сеть и токен AZTEC не пострадали.

Очередная атака на заброшенную инфраструктуру

Злоумышленник нацелился на старый Private Rollup Bridge от Aztec — продукт, запущенный в 2021 году и закрытый в 2022 году, сообщает Coinpedia. Хотя работа моста была прекращена, его смарт-контракты оставались активными, поскольку они были неизменяемыми (immutable), что означало, что Aztec не могла приостановить или обновить их после развертывания.

По данным SlowMist, злоумышленник вывел 1 158 ETH, 150 000 DAI и 0,47 renBTC. Сообщается, что кошелек эксплойта был пополнен всего на 0,134 ETH с биржи HitBTC перед атакой.

Loading...

Твит был удалён автором.

Но мы всё сохранили 🙂.

Эта атака последовала за другим эксплойтом, обнаруженным 14 июня, связанным с устаревшим продуктом Aztec Connect, что привело к убыткам, оцениваемым более чем в $2,15 млн. Тот предыдущий инцидент также был направлен на устаревшую инфраструктуру, а не на текущую сеть Aztec.

Уязвимость аварийного выхода

Исследователи SlowMist связали последний эксплойт с уязвимостью в функции «escape hatch» (аварийный люк) моста — механизме экстренного вывода средств, предназначенном для того, чтобы пользователи могли вернуть активы при определенных условиях. Проблема, согласно отчету, заключалась в том, что контракт не проверял должным образом запросы на вывод средств и доверял некоторым предоставленным данным транзакций без независимого подтверждения права собственности на средства.

Это позволило злоумышленнику предоставить доказательство, которое выглядело валидным, используя при этом манипулируемую информацию о выводе средств. В результате контракт высвободил средства, которые не должен был одобрять. Этот случай показывает, как даже инструменты экстренной помощи могут стать вектором атаки, если логика проверки неполна.

В Aztec Labs заявили, что затронутый продукт не имеет связи с текущей сетью, текущими смарт-контрактами или токеном AZTEC стандарта ERC-20. Компания также сообщила, что больше не имеет административного контроля над старым мостом, что ограничивает ее возможности вмешательства после эксплойта.

Устаревший код остается фактором риска в DeFi

Инциденты с Aztec подчеркивают повторяющийся риск в децентрализованных финансах: старые смарт-контракты могут сохранять экономическую значимость долгое время после того, как команды перестают их обслуживать. Если внутри этих контрактов все еще находятся средства, неизменяемость может защитить пользователей от произвольных изменений, но также препятствует экстренным исправлениям.

Для пользователей основной вопрос заключается не только в безопасности текущего протокола, но и в том, хранятся ли активы в старых продуктах и был ли процесс их закрытия завершен полностью. Для разработчиков урок более очевиден: прекращение поддержки не избавляет от рисков. Если контракты нельзя обновить, проектам необходимы более активные кампании по выводу средств, мониторинг и публичные предупреждения до того, как устаревшие системы станут мишенью.

Мы также сообщали, что мост Verus-Ethereum потерял более $11 млн в результате эксплойта валидации.

Этот материал может содержать мнения третьих лиц, никакие данные и информация на этой веб-странице не являются инвестиционным советом в соответствии с нашим Отказом от ответственности. Хотя мы придерживаемся строгих Редакционных стандартов, этот пост может содержать ссылки на продукты наших партнеров.