Хакери знову обчистили занедбаний Aztec Connect: ще $2,2 млн зникли
Протокол Aztec Connect, який уже давно вважається "мертвим", продовжує завдавати збитків. 18 червня зловмисники завдали другого удару по його смарт-контрактах, вивівши ще близько $2,2 млн. Це сталося лише через чотири дні після першої атаки 14 червня, що робить ситуацію особливо показовою для всієї індустрії DeFi.
Цього разу хакер викрав 1158 ETH, 150 000 DAI та приблизно 0,47 renBTC. Метод атаки був ідентичний попередньому, але зловмисник націлився на інший пул ліквідності, використовуючи іншу точку входу.
Ахіллесова п'ята "аварійного люка"
Вразливість критися у функції escapeHatch — механізмі, який у теорії має дозволяти користувачам екстрено виводити кошти, якщо основна система виходить з ладу. Проблема в тому, що у цієї функції геть були відсутні перевірки прав доступу. По суті, двері були розчахнуті для будь-кого, хто знав, як у них постукати.
Грубо кажучи, система мала верифікувати, що користувач дійсно володіє активами, які намагається вивести. Але через помилку в коді цю процедуру можна було обійти. Хакер просто пред'явив підроблений "доказ" володіння, і контракт, не моргнувши оком, віддав йому чужі криптовалюти.
Найтривожніше: розробники давно видалили цей вразливий модуль з основного коду. Однак уже розгорнутий у мережі контракт, як і раніше, містив стару, "діряву" версію перевіряючого модуля. Бреш роками чекала своєї години в коді, який усі вважали неактивним.
Чому зупинити крадіжку було неможливо
Корінь проблеми в тому, що Aztec Connect — це давно закинутий продукт. Протокол був виведений з експлуатації у 2023 році, коли команда Aztec Labs переключилася на нову мережу. Після закриття розробники відмовилися від ключів управління, зробивши контракти незмінними (immutable). Це означає, що код назавжди застиг у мережі: його не можна оновити, виправити або поставити на паузу. У команди просто немає технічної можливості втрутитися та зупинити крадіжку.
Важливий момент: цей інцидент не зачіпає токен AZTEC або діючу мережу Aztec — це абсолютно окрема система. Однак цей випадок вкотре підсвічує приховану небезпеку DeFi: навіть покинуті смарт-контракти залишаються мішенню, доки в них зберігаються гроші. За даними DeFiLlama, лише за червень 2026 року в результаті щонайменше 12 атак було вкрадено близько $44 млн.
Коментар аналітика: Ця історія — суворий урок для всіх учасників ринку. "Забуті" контракти з ліквідністю — це бомба уповільненої дії. Поки спільнота не виробить стандарти для "утилізації" застарілих протоколів (наприклад, примусове виведення коштів користувачами до відмови від ключів управління), такі інциденти повторюватимуться. Уважність до "мертвих" пулів має бути такою ж, як і до нових, неперевірених проєктів.