Вразливість у застарілому контракті Aztec призвела до втрати $2 млн: детальний аналіз інциденту
18 червня в мережі другого рівня Aztec було зламано невикористовуваний смарт-контракт, що призвело до збитків у розмірі приблизно $2,15 млн. Інцидент торкнувся застарілого платіжного продукту Aztec Payments, який було згорнуто ще у 2022 році. Важливо підкреслити, що атака не зачепила поточних користувачів та активи, що знаходяться в актуальній версії мережі.
Першими на аномальну активність звернули увагу аналітики CertiK, після чого команда розробників Aztec Labs підтвердила факт злому. Вразливість було виявлено в логіці перевірки доказів контракту PrivateRollupBridge. Зловмисник витратив лише 0,134 ETH (близько $230) на реалізацію атаки, що підкреслює надзвичайно низький поріг входу для експлуатації подібних вразливостей, коли код залишається незмінним і непідтримуваним.
У результаті хакер вивів 1158 ETH, 150 000 DAI та 0,47 renBTC — загалом активи на суму понад $2 млн. Примітно, що для Aztec це вже другий інцидент за останні кілька днів. 14 червня інший застарілий контракт маршрутизатора було спустошено майже на $2,19 млн.
Ключовою проблемою, на мою думку, є те, що представники Aztec Labs не володіють адміністративними ключами та не контролюють систему. Це означає, що команда не може заморозити контракти або випустити оновлення для запобігання подальшим атакам. Така архітектура, характерна для децентралізованих рішень, стає ахіллесовою п'ятою, коли мова йде про старі, невикористовувані смарт-контракти, які залишаються відкритими для експлуатації.
Для порівняння, 8 червня хакери скомпрометували гаманці, пов'язані з проектом Humanity Protocol, завдавши збитків у $31 млн. Ці інциденти підкреслюють зростаючу тенденцію: зловмисники все активніше полюють на занедбані контракти, де відсутність підтримки та оновлень робить їх легкою здобиччю. Ринку необхідно терміново впроваджувати механізми деактивації або автоматичного виведення коштів із застарілих смарт-контрактів, щоб запобігти подібним втратам у майбутньому.