Новости криптомира

18.06.2026
13:06

Забытый контракт Aztec Connect снова обокрали: хакеры унесли ещё $2,2 млн

Заброшенный протокол конфиденциальности Aztec Connect продолжает приносить убытки. 18 июня злоумышленники снова атаковали его, выведя порядка $2,2 млн. Это уже второй инцидент за неделю: первая атака произошла 14 июня, и теперь хакер нашёл ещё один способ опустошить пулы ликвидности.

На этот раз жертвой стал другой пул средств. Хакер похитил 1158 ETH, 150 000 DAI и около 0,47 токена renBTC. Общая сумма ущерба за две атаки превышает $4 млн, и это — тревожный сигнал для всей экосистемы DeFi.

Как сработала уязвимость

Корень проблемы кроется в функции escapeHatch — механизме, который когда-то был задуман как «аварийный люк» для вывода средств пользователей в случае отказа основной системы. Разработчики Aztec, сворачивая проект в 2023 году, удалили эту функцию из основного кода. Однако, как показал анализ, развёрнутый в сети смарт-контракт всё ещё содержал старый проверяющий модуль, лишённый каких-либо проверок прав доступа.

По сути, хакер воспользовался отсутствием верификации: он просто подал поддельное «доказательство» владения активами, и контракт, не имея возможности проверить подлинность, беспрекословно отдал чужие средства. Эта брешь годами ждала своего часа в коде, который все считали неактивным.

Почему атаку было невозможно остановить

Ключевая трагедия этой ситуации — в архитектурной особенности Aztec Connect. После закрытия проекта команда Aztec Labs отказалась от ключей управления, сделав контракты полностью неизменяемыми (immutable). Это означает, что код навсегда застыл в сети: его нельзя обновить, исправить или поставить на паузу. У разработчиков просто нет технической возможности вмешаться и остановить кражу.

Важно подчеркнуть: этот инцидент никак не связан с токеном AZTEC или действующей сетью Aztec. Это полностью изолированная, мёртвая система. Но сам случай — яркая иллюстрация скрытой опасности DeFi: даже заброшенные смарт-контракты остаются лакомой целью, пока в них хранятся средства. По данным DeFiLlama, только за июнь 2026 года в результате как минимум 12 атак было украдено около $44 млн.

Мой комментарий как аналитика: Этот кейс — не просто история о плохом коде. Это фундаментальный урок для всей индустрии. Заброшенные контракты с замороженными средствами — это «бомбы замедленного действия». Командам проектов необходимо внедрять механизмы «самоуничтожения» или принудительного вывода ликвидности при сворачивании продукта. Иначе мы будем наблюдать подобные инциденты снова и снова, пока хакеры не выгребут всё до дна.