Новини криптоміра

18.06.2026
10:50

Закинутий протокол Aztec Connect знову атаковано: хакери вивели ще $2,2 млн

Закинутий протокол конфіденційних транзакцій Aztec Connect знову зазнав атаки. 18 червня зловмисник зумів вивести з його смарт-контрактів близько $2,2 млн у криптовалюті. Це вже другий інцидент за тиждень — перша атака сталася 14 червня, і тоді збитки також були значними.

Деталі повторного зламу

Цього разу хакер викрав 1158 ETH, 150 000 DAI та приблизно 0,47 токена renBTC. Аналітики безпеки з BlockSec Phalcon та SlowMist підтвердили, що атака була проведена через вразливість у функції escapeHatch (дослівно — «аварійний люк»). Цей механізм був призначений для того, щоб користувачі могли екстрено вивести свої кошти, якщо основна система перестане працювати. Однак розробники припустилися критичної помилки: функція не перевіряла права доступу. По суті, «двері» були відчинені для будь-кого.

Механізм атаки був простим, але ефективним. Хакер надав смарт-контракту підроблений «доказ» володіння активами, і контракт, не маючи змоги верифікувати справжність, слухняно перевів йому чужі кошти. Примітно, що сам вразливий код було видалено з основного репозиторію проекту ще у 2023 році. Однак розгорнутий у мережі контракт залишився незмінним, і «бекдор» продовжував чекати своєї години. Це класичний приклад того, як «мертвий» код, який усі вважали неактивним, стає бомбою сповільненої дії.

Чому зупинити атаку було неможливо

Корінь проблеми криється у статусі самого Aztec Connect. Цей протокол був мостом для приватних операцій у DeFi на Ethereum, але його вивели з експлуатації ще минулого року, коли команда Aztec Labs переключилася на розробку нової мережі. Після закриття розробники відмовилися від ключів управління, зробивши контракти імутабельними — тобто їхній код назавжди застиг у блокчейні. Його не можна оновити, виправити або поставити на паузу. У команди просто немає технічної можливості втрутитися та зупинити крадіжку.

Важливо підкреслити, що інцидент не зачіпає ні токен AZTEC, ні поточну мережу Aztec — це повністю ізольована, закинута система. Однак цей випадок вкотре демонструє приховану небезпеку DeFi: навіть «мертві» смарт-контракти залишаються мішенню, доки в них зберігаються кошти. За даними DeFiLlama, лише за червень 2026 року в результаті щонайменше 12 атак було вкрадено близько $44 млн. Ринок продовжує платити за помилки проектування, допущені роки тому.

Думка експерта: Атака на Aztec Connect — це не просто технічний казус, а системна проблема індустрії. Проекти, які оголошують про «закриття», повинні не просто відмовлятися від ключів, а проводити повну міграцію ліквідності та знищувати застарілі контракти. Залишати «закинуті» смарт-контракти з мільйонами доларів — це все одно, що залишити відчиненим сейф із грошима посеред вулиці. Поки спільнота не виробить чіткі стандарти для «виведення з експлуатації», такі інциденти повторюватимуться.