Хакеры снова обчистили заброшенный Aztec Connect: еще $2,2 млн испарились
Протокол Aztec Connect, который уже давно считается "мертвым", продолжает приносить убытки. 18 июня злоумышленники нанесли второй удар по его смарт-контрактам, выведя еще около $2,2 млн. Это произошло всего через четыре дня после первой атаки 14 июня, что делает ситуацию особенно показательной для всей индустрии DeFi.
На этот раз хакер похитил 1158 ETH, 150 000 DAI и примерно 0,47 renBTC. Метод атаки был идентичен предыдущему, но злоумышленник нацелился на другой пул ликвидности, используя иную точку входа.
Ахиллесова пята "аварийного люка"
Уязвимость крылась в функции escapeHatch — механизме, который в теории должен позволять пользователям экстренно выводить средства, если основная система выходит из строя. Проблема в том, что у этой функции напрочь отсутствовали проверки прав доступа. По сути, дверь была распахнута для любого, кто знал, как в нее постучать.
Грубо говоря, система должна была верифицировать, что пользователь действительно владеет активами, которые пытается вывести. Но из-за ошибки в коде эту процедуру можно было обойти. Хакер просто предъявил поддельное "доказательство" владения, и контракт, не моргнув глазом, отдал ему чужие криптовалюты.
Самое тревожное: разработчики давно удалили этот уязвимый модуль из основного кода. Однако уже развернутый в сети контракт по-прежнему содержал старую, "дырявую" версию проверяющего модуля. Брешь годами ждала своего часа в коде, который все считали неактивным.
Почему остановить кражу было невозможно
Корень проблемы в том, что Aztec Connect — это давно заброшенный продукт. Протокол был выведен из эксплуатации в 2023 году, когда команда Aztec Labs переключилась на новую сеть. После закрытия разработчики отказались от ключей управления, сделав контракты неизменяемыми (immutable). Это значит, что код навсегда застыл в сети: его нельзя обновить, исправить или поставить на паузу. У команды просто нет технической возможности вмешаться и остановить кражу.
Важный момент: этот инцидент не затрагивает токен AZTEC или действующую сеть Aztec — это совершенно отдельная система. Однако данный случай в очередной раз подсвечивает скрытую опасность DeFi: даже брошенные смарт-контракты остаются мишенью, пока в них хранятся деньги. По данным DeFiLlama, только за июнь 2026 года в результате как минимум 12 атак было украдено около $44 млн.
Комментарий аналитика: Эта история — суровый урок для всех участников рынка. "Забытые" контракты с ликвидностью — это бомба замедленного действия. Пока сообщество не выработает стандарты для "утилизации" устаревших протоколов (например, принудительный вывод средств пользователями до отказа от ключей управления), такие инциденты будут повторяться. Внимательность к "мертвым" пулам должна быть такой же, как и к новым, непроверенным проектам.