Крах Aztec Connect: повторна атака принесла хакерам ще $2,2 млн
Закинутий протокол Aztec Connect знову став жертвою зловмисників. 18 червня хакерам вдалося вивести з його смарт-контрактів додаткові кошти на суму близько $2,2 млн. Це вже другий інцидент за тиждень, наступний за атакою, що сталася 14 червня.
Деталі другої атаки
Цього разу зловмисник викрав 1158 ETH, 150 000 DAI та близько 0,47 токена renBTC. Структура атаки багато в чому повторювала попередню, але була спрямована на інший пул ліквідності та здійснювалася через іншу точку входу. Фахівці з безпеки, зокрема з BlockSec Phalcon та SlowMist, оперативно виявили механізм злому.
Корінь вразливості, як і минулого разу, криється у функції escapeHatch — так званому «аварійному люку». Цей механізм був задуманий для того, щоб користувачі могли безпосередньо забрати свої кошти у разі відмови основної системи. Однак критична помилка полягала у відсутності належних перевірок прав доступу. Хакеру достатньо було пред'явити підроблений «доказ» володіння активами, і контракт, не провівши верифікацію, беззастережно переказував йому чужі кошти.
Чому зупинити атаку неможливо
Ситуація ускладнюється тим, що Aztec Connect — це давно закинутий продукт. Протокол, який слугував мостом для приватних DeFi-операцій на Ethereum, був виведений з експлуатації ще у 2023 році, коли команда Aztec Labs переключилася на розробку нової мережі.
Після закриття розробники відмовилися від ключів управління контрактами, зробивши їх повністю незмінними (immutable). Це означає, що код назавжди застиг у мережі: його не можна оновити, виправити або поставити на паузу. У команди Aztec Labs просто немає технічної можливості втрутитися та зупинити крадіжку.
Важливо підкреслити, що цей інцидент не зачіпає ні токен AZTEC, ні діючу мережу Aztec — це повністю ізольована система. Однак цей випадок слугує потужним нагадуванням про приховану небезпеку DeFi: навіть «мертві» та закинуті смарт-контракти залишаються мішенню, поки в них зберігаються кошти.
Мій аналіз: Ця ситуація — класичний приклад того, як нехтування принципом «не нашкодь» при відмові від проекту може обернутися прямими фінансовими втратами для користувачів. Інциденти з Aztec Connect мають стати тривожним сигналом для всієї індустрії: при закритті протоколу необхідно передбачати механізми безпечної міграції або повної ліквідації контрактів, а не просто передавати їх у «вічне плавання». За даними DeFiLlama, лише за червень 2026 року в результаті щонайменше 12 атак було вкрадено близько $44 млн — і це число буде тільки зростати, якщо не змінити підхід до управління застарілими смарт-контрактами.