Новости криптомира

18.06.2026
12:35

Заброшенный протокол Aztec Connect снова атакован: хакеры вывели ещё $2,2 млн

Протокол приватных транзакций Aztec Connect, который уже давно считается «мёртвым» проектом, вновь стал жертвой злоумышленников. 18 июня хакеры смогли вывести из его смарт-контрактов дополнительные средства на сумму около $2,2 млн. Это второй удар по протоколу за последнюю неделю — первая атака произошла 14 июня.

На этот раз злоумышленник похитил 1158 ETH, 150 000 DAI и примерно 0,47 токена renBTC. Метод атаки во многом повторял предыдущий, но был направлен на другой пул ликвидности и осуществлён через иной вектор входа. Ключевая уязвимость, как и в первый раз, заключалась в функции escapeHatch — механизме аварийного вывода средств.

Как работает «аварийный люк» и почему он оказался открыт

Функция escapeHatch была предусмотрена разработчиками как запасной канал для пользователей, чтобы те могли забрать свои активы в случае отказа основной системы. Однако в коде была допущена критическая ошибка: отсутствовала проверка прав доступа. По сути, любой желающий мог вызвать эту функцию и заявить права на чужие средства, подделав «доказательство» владения активами. Контракт безоговорочно доверял этим ложным данным и отправлял средства атакующему.

Примечательно, что сами разработчики уже давно удалили уязвимый механизм из основного кода. Но развёрнутый в сети смарт-контракт всё ещё содержал старую версию проверяющего модуля. По сути, бомба замедленного действия годами ждала своего часа в коде, который все считали неактивным.

Почему остановить атаку было невозможно

Корень проблемы кроется в архитектуре самого Aztec Connect. Это заброшенный продукт, который был выведен из эксплуатации ещё в 2023 году, когда команда Aztec Labs переключилась на разработку новой сети. После закрытия проекта разработчики отказались от ключей управления, сделав контракты неизменяемыми (immutable). Это означает, что код навсегда застыл в сети: его нельзя обновить, исправить или поставить на паузу. У команды попросту нет технической возможности вмешаться и остановить кражу.

Важно подчеркнуть, что инцидент не затрагивает ни токен AZTEC, ни действующую сеть Aztec — это совершенно изолированная система. Однако этот случай в очередной раз демонстрирует скрытую опасность DeFi-экосистемы: даже брошенные смарт-контракты остаются мишенью, пока в них хранятся средства. По данным DeFiLlama, только за июнь 2026 года в результате как минимум 12 атак было украдено около $44 млн.

Мнение эксперта: Инцидент с Aztec Connect — это классический пример «недостатка наследия» в DeFi. Когда проект закрывается, а контракты становятся неизменяемыми, любая скрытая уязвимость превращается в неконтролируемую бомбу. Сообществу пора задуматься о стандартах «пенсионного возраста» для смарт-контрактов: механизмах принудительного вывода ликвидности или автоматического уничтожения неиспользуемых протоколов.