Новини криптоміра

18.06.2026
12:35

Закинутий протокол Aztec Connect знову атаковано: хакери вивели ще $2,2 млн

Протокол приватних транзакцій Aztec Connect, який уже давно вважається «мертвим» проєктом, знову став жертвою зловмисників. 18 червня хакери змогли вивести з його смарт-контрактів додаткові кошти на суму близько $2,2 млн. Це другий удар по протоколу за останній тиждень — перша атака відбулася 14 червня.

Цього разу зловмисник викрав 1158 ETH, 150 000 DAI та приблизно 0,47 токена renBTC. Метод атаки значною мірою повторював попередній, але був спрямований на інший пул ліквідності та здійснений через інший вектор входу. Ключова вразливість, як і вперше, полягала у функції escapeHatch — механізмі аварійного виведення коштів.

Як працює «аварійний люк» і чому він виявився відкритим

Функція escapeHatch була передбачена розробниками як запасний канал для користувачів, щоб ті могли забрати свої активи у разі відмови основної системи. Однак у коді було допущено критичну помилку: була відсутня перевірка прав доступу. По суті, будь-хто міг викликати цю функцію та заявити права на чужі кошти, підробивши «доказ» володіння активами. Контракт беззастережно довіряв цим хибним даним і надсилав кошти атакуючому.

Примітно, що самі розробники вже давно видалили вразливий механізм з основного коду. Але розгорнутий у мережі смарт-контракт все ще містив стару версію перевіряючого модуля. По суті, бомба уповільненої дії роками чекала своєї години в коді, який усі вважали неактивним.

Чому зупинити атаку було неможливо

Корінь проблеми криється в архітектурі самого Aztec Connect. Це занедбаний продукт, який був виведений з експлуатації ще у 2023 році, коли команда Aztec Labs переключилася на розробку нової мережі. Після закриття проєкту розробники відмовилися від ключів управління, зробивши контракти незмінними (immutable). Це означає, що код назавжди застиг у мережі: його не можна оновити, виправити або поставити на паузу. У команди просто немає технічної можливості втрутитися та зупинити крадіжку.

Важливо підкреслити, що інцидент не зачіпає ні токен AZTEC, ні діючу мережу Aztec — це абсолютно ізольована система. Однак цей випадок вкотре демонструє приховану небезпеку DeFi-екосистеми: навіть покинуті смарт-контракти залишаються мішенню, доки в них зберігаються кошти. За даними DeFiLlama, лише за червень 2026 року в результаті щонайменше 12 атак було вкрадено близько $44 млн.

Думка експерта: Інцидент з Aztec Connect — це класичний приклад «недоліку спадщини» в DeFi. Коли проєкт закривається, а контракти стають незмінними, будь-яка прихована вразливість перетворюється на неконтрольовану бомбу. Спільноті пора задуматися про стандарти «пенсійного віку» для смарт-контрактів: механізми примусового виведення ліквідності або автоматичного знищення невикористовуваних протоколів.