Забутий, але не беззахисний: Хакер вивів $2,1 млн із протоколу Aztec Connect, закритого три роки тому
14 червня було зафіксовано інцидент, який вкотре нагадує нам про фундаментальну проблему DeFi: код не старіє, але вразливості залишаються назавжди. Зловмисник зумів вивести понад $2,1 мільйона зі смарт-контрактів протоколу Aztec Connect, який був офіційно закритий та занедбаний ще три роки тому.
Фахівці з безпеки блокчейну виявили підозрілу транзакцію, що призвела до спустошення коштів. Причина злому криється в неповній верифікації доказів (proofs) у механізмі смарт-контракту. Ключова помилка полягала в тому, що контракт перевіряв лише початок доказу, ігноруючи інструкції з переказу токенів, закладені в іншій частині даних. Це класичний випадок невідповідності логіки перевірки та виконання, який дозволив атакуючому підмінити механізм виведення коштів і легітимно, з точки зору контракту, вивести близько $2,19 млн.
Реакція команди Aztec
Фонд Aztec підтвердив отримання повідомлення про можливий експлойт. У команді наголосили, що інцидент не зачіпає поточний токен AZTEC (ERC-20) та активні контракти основної мережі Aztec. Однак ключовий момент полягає в тому, що Aztec Labs більше не керує протоколом Aztec Connect. Як заявили розробники: «Aztec Labs не має адміністративних ключів і не отримує контроль над системою. Зупинити її або оновити ми не можемо». Це означає, що кошти, які застрягли або знаходяться в застарілих контрактах, фактично виявилися беззахисними перед експлуатацією.
Цей злом — не поодинокий випадок. Він стався лише через кілька днів після експлойту на Raydium (RAY) у мережі Solana, де хакери вивели близько $1,3 млн із п'яти застарілих пулів ліквідності. За даними аналітичних платформ, загальна шкода від хакерських атак у DeFi з початку червня вже перевищила $43,93 млн.
Мій аналіз: Цей інцидент — суворий урок для всієї спільноти. Він показує, що «мертві» протоколи — це не просто архівні записи в блокчейні, а активні мішені. Будь-який смарт-контракт, одного разу розгорнутий, залишається вразливим для атак, якщо в його логіці є прогалина. Користувачам і командам проєктів слід надзвичайно уважно ставитися до ліквідації та міграції коштів із застарілих контрактів. Залишати активи в «сплячих» протоколах без можливості оновлення — це прямий шлях до їхньої втрати.