Новини криптоміра

18.06.2026
12:10

Застарілий контракт Aztec знову під ударом: хакер вивів $2,15 млн

хакери hackers, переміщення коштів

18 червня зловмисник успішно атакував неактивний смарт-контракт у мережі другого рівня Aztec. За моїми оцінками, збитки склали близько $2,15 млн. Це вже другий інцидент за тиждень, і він наочно демонструє ризики, пов'язані зі спадщиною старих протоколів.

Атака була спрямована на застарілий продукт Aztec Payments, який було згорнуто ще у 2022 році. Важливо підкреслити: поточна інфраструктура проекту та кошти користувачів в актуальній мережі не постраждали. Вразливість виявилася в контракті PrivateRollupBridge — хакер використав прогалину в логіці перевірки доказів. На реалізацію атаки він витратив лише 0,134 ETH (приблизно $230), що свідчить про глибоке розуміння коду.

У результаті виведення зловмисник отримав 1158 ETH, 150 000 DAI та 0,47 renBTC. Загальна вартість викрадених активів перевищує $2 млн.

Команда Aztec Labs підтвердила інцидент, але зазначила, що не має адміністративних ключів і не може заморозити контракти або випустити оновлення. Це характерна проблема для неоновлюваних (immutable) смарт-контрактів: щойно код розгорнуто, контроль над ним втрачається назавжди. У цьому випадку застарілий контракт було заморожено на другому рівні, але зловмисник знайшов спосіб обійти його логіку.

Нагадаю, що 14 червня аналогічна атака торкнулася іншого старого контракту маршрутизатора, збитки від якої склали майже $2,19 млн. У сукупності це понад $4 млн за короткий проміжок часу, що вказує на системну проблему: забуті, але все ще активні контракти — ласий шматок для хакерів.

Моя аналітика: Цей інцидент — яскравий приклад того, чому проектам необхідно проводити аудит і своєчасно деактивувати старі контракти, а не просто залишати їх у мережі. Відсутність механізмів управління після деплою — палиця з двома кінцями: з одного боку, це безпека від цензури, з іншого — беззахисність перед вразливостями. Якщо Aztec не знайде спосіб убезпечити спадщину, такі атаки стануть регулярними.