Твіт було видалено автором.
Але ми все зберегли 🙂.
Повторний експлойт Aztec на $2,16 млн викликає занепокоєння щодо застарілих контрактів DeFi
Aztec Labs постраждала від другого експлойту менш ніж за тиждень: зловмисник вивів близько $2,16 млн із застарілого Private Rollup Bridge, який був закритий кілька років тому. Інцидент не вплинув на поточну мережу Aztec або токен AZTEC, але поновив пильну увагу до старих смарт-контрактів, які залишаються активними в мережі навіть після припинення роботи продуктів.
Основні моменти
- Застарілий Private Rollup Bridge від Aztec втратив близько $2,16 млн.
- Зловмисник вивів ETH, DAI та renBTC зі старих незмінних контрактів.
- Aztec заявила, що поточна мережа та токен AZTEC не постраждали.
Ще одна атака на покинуту інфраструктуру
Зловмисник націлився на старий Private Rollup Bridge від Aztec, продукт, запущений у 2021 році та закритий у 2022 році, повідомляє Coinpedia. Хоча роботу мосту було припинено, його смарт-контракти залишалися активними, оскільки вони були незмінними (immutable), що означало, що Aztec не могла призупинити або оновити їх після розгортання.
За даними SlowMist, зловмисник вивів 1 158 ETH, 150 000 DAI та 0,47 renBTC. Повідомляється, що гаманець експлойту був профінансований лише на 0,134 ETH з HitBTC перед атакою.
Атака послідувала за іншим експлойтом, виявленим 14 червня, пов'язаним із застарілим продуктом Aztec Connect, що призвело до збитків, оцінених у понад $2,15 млн. Той попередній інцидент також був спрямований на застарілу інфраструктуру, а не на поточну мережу Aztec.
Слабкість механізму аварійного виходу
Дослідники SlowMist пов'язали останній експлойт зі слабкістю у функції escape hatch мосту — механізмі аварійного виведення коштів, розробленому для того, щоб користувачі могли повернути активи за певних умов. Проблема, згідно зі звітом, полягала в тому, що контракт неналежним чином перевіряв запити на виведення коштів і довіряв деяким наданим даним транзакцій без незалежного підтвердження права власності на кошти.
Це дозволило зловмиснику надати доказ, який здавався дійсним, використовуючи маніпулятивну інформацію про виведення коштів. Потім контракт випустив кошти, які не мав би схвалювати. Цей випадок показує, як навіть інструменти для надзвичайних ситуацій можуть стати поверхнею для атак, якщо логіка перевірки є неповною.
Aztec Labs заявила, що постраждалий продукт не має зв'язку з поточною мережею, поточними смарт-контрактами або токеном AZTEC стандарту ERC-20. Компанія також зазначила, що більше не має адміністративного контролю над старим мостом, що обмежує її здатність втручатися після експлойту.
Застарілий код залишається вразливістю DeFi
Інциденти з Aztec підкреслюють повторюваний ризик у децентралізованих фінансах: старі смарт-контракти можуть залишатися економічно значущими ще довго після того, як команди припиняють їх підтримку. Якщо кошти все ще знаходяться всередині цих контрактів, незмінність може захистити користувачів від довільних змін, але також перешкоджає екстреним виправленням.
Для користувачів головне питання полягає не лише в тому, чи є безпечним поточний протокол, а й у тому, чи зберігають старі продукти активи і чи був процес їх закриття повним. Для розробників урок ще чіткіший: виведення з експлуатації не припиняє ризики. Якщо контракти неможливо оновити, проєктам потрібні потужніші кампанії з виведення коштів, моніторинг та публічні попередження, перш ніж застарілі системи стануть мішенями.
Ми також повідомляли, що міст Verus-Ethereum втратив понад $11 мільйонів через експлойт валідації.
Цей матеріал може містити думки третіх сторін, жодні дані та інформація на цій веб-сторінці не є інвестиційною порадою згідно з нашим Застереженням. Хоча ми дотримуємося суворої Редакційної неупередженості, цей пост може містити посилання на продукти наших партнерів.
Вам сподобалася стаття?
Головні новини
Топ-5 брокерів для вас
США
-
Єгипет
-
Ємен
-
Ізраїль
-
Індонезія
-
Індія
-
Ірак
-
Іран, Ісламська республіка
-
Ірландія
-
Іспанія
-
Італія
-
Австралія
-
Австрія
-
Азербайджан
-
Албанія
-
Алжир
-
Ангола
-
Аргентина
-
Афганістан
-
Багамські острови
-
Бангладеш
-
Бахрейн
-
Бельгія
-
Болгарія
-
Болівія
-
Ботсвана
-
Бразилія
-
Бруней-Даруссалам
-
Білорусь
-
В'єтнам
-
Венесуела
-
Возз'єднання
-
Вірменія
-
Гана
-
Гаїті
-
Гонконг
-
Греція
-
Грузія
-
ДР Конго
-
Данія
-
Домініканська Республіка
-
Еквадор
-
Есватіні
-
Естонія
-
Ефіопія
-
Замбія
-
Зімбабве
-
Йорданія
-
Казахстан
-
Камбоджа
-
Камерун
-
Канада
-
Катар
-
Кенія
-
Киргизстан
-
Китай
-
Колумбія
-
Конго
-
Корея
-
Коста-Ріка
-
Кот-д'Івуар
-
Куба
-
Кувейт
-
Кіпр
-
Лаос
-
Латвія
-
Лесото
-
Литва
-
Люксембург
-
Ліван
-
Лівія
-
Маврикій
-
Мадагаскар
-
Малайзія
-
Мальта
-
Марокко
-
Мексика
-
Мозамбік
-
Молдова
-
Монголія
-
М’янма
-
Намібія
-
Непал
-
Нова Зеландія
-
Норвегія
-
Нігерія
-
Нідерланди
-
Німеччина
-
ОАЕ
-
Оман
-
Пакистан
-
Палестина
-
Панама
-
Папуа-Нова Гвінея
-
Парагвай
-
Перу
-
Польща
-
Португалія
-
Пуерто-Ріко
-
Південна Африка
-
Північна Македонія
-
Руанда
-
Румунія
-
США
-
Сальвадор
-
Саудівська Аравія
-
Сербія
-
Сирія
-
Словаччина
-
Словенія
-
Сомалі
-
Сполучене Королівство
-
Сінгапур
-
Таджикистан
-
Тайвань, провінція Китаю
-
Танзанія'єднана Республіка
-
Таїланд
-
Тринідад і Тобаго
-
Туніс
-
Туреччина
-
Уганда
-
Угорщина
-
Узбекистан
-
Україна
-
Уругвай
-
Франція
-
Філіппіни
-
Фінляндія
-
Хорватія
-
Чехія
-
Чилі
-
Чорногорія
-
Швейцарія
-
Швеція
-
Шрі-Ланка
-
Ямайка
-
Японія
- Forex
- Crypto
Новини онлайн
