Хакер обікрав мертвий протокол: експлойт Aztec Connect на $2,1 млн
14 червня з платформи Aztec Connect було викрадено понад $2,1 млн. Зловмисник скористався критичною вразливістю в механізмі верифікації доказів (proof verification) смарт-контракту. Цей інцидент — яскравий приклад того, як «сплячі» вразливості в давно невикористовуваних протоколах можуть бути активовані через роки.
Фахівці з безпеки блокчейну виявили підозрілу транзакцію та оперативно відзначили її в мережі. Аналіз показав, що функція смарт-контракту перевіряла лише початок доказу, залишаючи без належного контролю інструкції з переказу токенів, закладені в іншій частині даних. Ця прогалина дозволила атакуючому підмінити механізм виведення коштів і викрасти близько $2,19 млн.
Мертвий протокол — жива загроза
Фонд Aztec підтвердив отримання повідомлення про можливий експлойт Aztec Connect. У команді наголосили, що інцидент не зачіпає токен AZTEC стандарту ERC-20 та смарт-контракти діючої мережі Aztec. Більше того, розробники повідомили, що Aztec Connect припинив свою роботу три роки тому, і Aztec Labs більше не керує цим протоколом. У них немає адміністративних ключів, і вони не можуть зупинити систему або оновити її.
«Aztec Labs не має адмін-ключів і не отримує контролю над системою. Призупинити її або оновити ми не можемо», — заявили розробники.
Цей злом стався лише через кілька днів після експлойту в Raydium (RAY), коли хакери вивели близько $1,3 млн з п'яти застарілих пулів ліквідності в мережі Solana (SOL). Остання атака стала черговою в серії зломів за цей місяць. Згідно з даними DeFiLlama, загальна шкода з початку червня вже досягла $43,93 млн.
Думка експерта: Цей випадок — суворе нагадування про те, що «мертві» протоколи несуть реальні ризики. Поки смарт-контракти залишаються на блокчейні, вони є потенційною мішенню. Інвесторам та розробникам варто серйозно замислитися над процедурами «поховання» таких контрактів, щоб виключити можливість їх експлуатації в майбутньому.