Забытый, но не беззащитный: Хакер вывел $2,1 млн из протокола Aztec Connect, закрытого три года назад
14 июня был зафиксирован инцидент, который в очередной раз напоминает нам о фундаментальной проблеме DeFi: код не стареет, но уязвимости остаются навсегда. Злоумышленник сумел вывести более $2,1 миллиона из смарт-контрактов протокола Aztec Connect, который был официально закрыт и заброшен еще три года назад.
Специалисты по безопасности блокчейна выявили подозрительную транзакцию, ведущую к опустошению средств. Причина взлома кроется в неполной верификации доказательств (proofs) внутри механизма смарт-контракта. Ключевая ошибка заключалась в том, что контракт проверял лишь начало доказательства, игнорируя инструкции по переводу токенов, заложенные в другой части данных. Это классический случай несоответствия логики проверки и исполнения, который позволил атакующему подменить механизм вывода средств и легитимно, с точки зрения контракта, вывести около $2,19 млн.
Реакция команды Aztec
Фонд Aztec подтвердил получение уведомления о возможном эксплойте. В команде подчеркнули, что инцидент не затрагивает текущий токен AZTEC (ERC-20) и активные контракты основной сети Aztec. Однако ключевой момент заключается в том, что Aztec Labs больше не управляет протоколом Aztec Connect. Как заявили разработчики: «Aztec Labs не имеет административных ключей и не получает контроль над системой. Остановить её или обновить мы не можем». Это означает, что средства, застрявшие или находящиеся в устаревших контрактах, фактически оказались беззащитны перед эксплуатацией.
Этот взлом — не единичный случай. Он произошел всего через несколько дней после эксплойта на Raydium (RAY) в сети Solana, где хакеры вывели около $1,3 млн из пяти устаревших пулов ликвидности. По данным аналитических платформ, общий ущерб от хакерских атак в DeFi с начала июня уже превысил $43,93 млн.
Мой анализ: Этот инцидент — суровый урок для всего сообщества. Он показывает, что «мертвые» протоколы — это не просто архивные записи в блокчейне, а активные мишени. Любой смарт-контракт, однажды развернутый, остается уязвимым для атак, если в его логике есть брешь. Пользователям и командам проектов следует крайне внимательно относиться к ликвидации и миграции средств из устаревших контрактов. Оставлять активы в «спящих» протоколах без возможности обновления — это прямая дорога к их потере.