Устаревший контракт Aztec взломан на $2 млн: хакер воспользовался логической уязвимостью

18 июня злоумышленник осуществил успешную атаку на неиспользуемый смарт-контракт в L2-сети Aztec. По моим оценкам, общая сумма ущерба составила около $2,15 млн. Инцидент был оперативно зафиксирован аналитиками CertiK, а затем подтвержден командой разработчиков Aztec Labs.
Детали атаки
Уязвимость была обнаружена в устаревшем платежном продукте Aztec Payments, который был закрыт еще в 2022 году. Хакер воспользовался логической ошибкой в проверке доказательств смарт-контракта PrivateRollupBridge. На реализацию атаки злоумышленник потратил всего 0,134 ETH, что эквивалентно примерно $230. В результате ему удалось вывести 1158 ETH, 150 000 DAI и 0,47 renBTC.
Важно отметить, что данный инцидент не затронул пользователей и активы в актуальной версии сети Aztec. Атака была проведена исключительно на устаревший контракт, который не используется в текущей экосистеме проекта.
Повторная уязвимость
Это уже второй случай взлома устаревших контрактов Aztec за последние несколько дней. 14 июня неизвестные опустошили другой старый контракт маршрутизатора, нанеся ущерб почти на $2,19 млн. Представители Aztec Labs подчеркнули, что не владеют административными ключами и не контролируют систему, поэтому не могут заморозить или обновить контракты для предотвращения дальнейших атак.
Экспертный анализ
С моей точки зрения, ситуация с Aztec демонстрирует критическую проблему в управлении устаревшими смарт-контрактами. Даже после закрытия продукта, если контракты остаются неизменяемыми и неконтролируемыми, они становятся привлекательной мишенью для хакеров. Это также напоминает недавний взлом Humanity Protocol на $31 млн, что подчеркивает растущую тенденцию к атакам на уязвимые, но неактивные смарт-контракты. Рекомендую всем проектам проводить полный аудит и, если возможно, деактивировать или замораживать устаревшие контракты, чтобы минимизировать риски.