Застарілий контракт Aztec зламано на $2 млн: експлойт торкнувся закинутого продукту 2021 року

18 червня відбувся злам неактивного смарт-контракту в мережі другого рівня Aztec. За моїми оцінками, загальна шкода від атаки склала близько $2,15 млн. Зловмисник зумів вивести 1158 ETH, 150 000 DAI та 0,47 renBTC, витративши на реалізацію атаки лише 0,134 ETH (~$230).
Вразливість було виявлено в логіці перевірки доказів контракту PrivateRollupBridge, який належав до застарілого платіжного продукту Aztec Payments, закритого ще у 2022 році. Важливо підкреслити, що поточна версія мережі та активи її користувачів не постраждали — атака торкнулася виключно невикористовуваного, «замороженого» контракту.
Це вже другий інцидент за короткий проміжок часу. 14 червня інший неактивний контракт маршрутизатора був спустошений майже на $2,19 млн. Представники Aztec Labs підтвердили, що не мають адміністративних ключів і не можуть заблокувати контракти або випустити патч для запобігання подібним атакам. Система залишається повністю децентралізованою та некерованою, що в даному випадку зіграло проти безпеки.
Мій коментар: Подібні інциденти — тривожний сигнал для всієї екосистеми L2. Закинуті, але незмінні контракти стають «мінами уповільненої дії». Командам проєктів варто активніше впроваджувати механізми автоматичного призупинення або оновлення для невикористовуваних смарт-контрактів, інакше ми побачимо ще не одну подібну атаку на «цифрові руїни» минулих років.