Устаревший контракт Aztec взломан на $2 млн: эксплойт затронул заброшенный продукт 2021 года

18 июня произошёл взлом неактивного смарт-контракта в сети второго уровня Aztec. По моим оценкам, общий ущерб от атаки составил около $2,15 млн. Злоумышленник сумел вывести 1158 ETH, 150 000 DAI и 0,47 renBTC, потратив на реализацию атаки всего 0,134 ETH (~$230).
Уязвимость была обнаружена в логике проверки доказательств контракта PrivateRollupBridge, который относился к устаревшему платёжному продукту Aztec Payments, закрытому ещё в 2022 году. Важно подчеркнуть, что текущая версия сети и активы её пользователей не пострадали — атака затронула исключительно неиспользуемый, «замороженный» контракт.
Это уже второй инцидент за короткий промежуток времени. 14 июня другой неактивный контракт маршрутизатора был опустошён почти на $2,19 млн. Представители Aztec Labs подтвердили, что не имеют административных ключей и не могут заблокировать контракты или выпустить патч для предотвращения подобных атак. Система остаётся полностью децентрализованной и неуправляемой, что в данном случае сыграло против безопасности.
Мой комментарий: Подобные инциденты — тревожный сигнал для всей экосистемы L2. Заброшенные, но неизменяемые контракты становятся «минами замедленного действия». Командам проектов стоит активнее внедрять механизмы автоматической приостановки или обновления для неиспользуемых смарт-контрактов, иначе мы увидим ещё не одну подобную атаку на «цифровые руины» прошлых лет.