Закинутий протокол Aztec Connect знову атаковано: хакери вивели ще $2,2 млн
Протокол конфіденційних транзакцій Aztec Connect, який уже давно вважається неактивним, знову став жертвою зловмисників. 18 червня хакери змогли вивести з його смарт-контрактів додаткові кошти на суму близько $2,2 млн. Це другий удар по протоколу за останній тиждень — перша атака сталася 14 червня.
Деталі повторного зламу
Цього разу до рук зловмисників перейшли 1158 ETH, 150 000 DAI та приблизно 0,47 токена renBTC. Механізм атаки був схожим на попередній, але націлений на інший пул ліквідності та проведений через іншу точку входу. Корінь вразливості криється у функції escapeHatch — «аварійному люку», який мав дозволяти користувачам виводити кошти безпосередньо у разі відмови основної системи. Проблема в тому, що в цій функції виявилися повністю відключені перевірки прав доступу. По суті, двері були відчинені для будь-кого.
Зловмисник просто пред'явив смарт-контракту підроблений «доказ» володіння активами, і контракт, не провівши належної верифікації, перевів йому чужі криптовалюти. Критично те, що команда Aztec Labs давно видалила цей вразливий механізм з основного коду репозиторію. Однак розгорнутий у мережі контракт все ще містив старий, «сплячий» модуль. Цього виявилося достатньо — вразливість роками чекала своєї години в коді, який усі вважали неактивним.
Чому зупинити атаку було неможливо
Ключовий фактор — статус протоколу. Aztec Connect був мостом для приватних DeFi-операцій на Ethereum, але його вивели з експлуатації ще у 2023 році, коли команда переключилася на новий проєкт. Після закриття розробники відмовилися від ключів управління, зробивши контракти незмінними (immutable). Це означає, що код застиг у мережі назавжди: його не можна оновити, виправити або поставити на паузу. У команди Aztec Labs просто немає технічної можливості втрутитися та зупинити крадіжку.
Важливо підкреслити: інцидент не зачіпає ні токен AZTEC, ні поточну активну мережу Aztec — це абсолютно ізольована система. Цей випадок — яскраве нагадування про приховану небезпеку DeFi: навіть занедбані смарт-контракти залишаються мішенню, поки в них зберігаються кошти. За даними DeFiLlama, лише за червень 2026 року в результаті щонайменше 12 атак було вкрадено близько $44 млн.
Думка експерта: Цей інцидент — класичний приклад «зомбі-ризику» в DeFi. Розробники часто забувають, що відмова від ключів управління не робить протокол безпечним, а лише позбавляє їх можливості реагувати на загрози. Будь-який код із ліквідністю — це активна ціль, і інвестори повинні враховувати це, залишаючи кошти в «мертвих» контрактах. Історія Aztec Connect — попередження для всіх, хто покладається на «безпеку» занедбаних протоколів.