Забутий контракт Aztec Connect знову обікрали: хакери винесли ще $2,2 млн
Закинутий протокол конфіденційності Aztec Connect продовжує завдавати збитків. 18 червня зловмисники знову атакували його, вивівши близько $2,2 млн. Це вже другий інцидент за тиждень: перша атака сталася 14 червня, і тепер хакер знайшов ще один спосіб спустошити пули ліквідності.
Цього разу жертвою став інший пул коштів. Хакер викрав 1158 ETH, 150 000 DAI та близько 0,47 токена renBTC. Загальна сума збитків за дві атаки перевищує $4 млн, і це — тривожний сигнал для всієї екосистеми DeFi.
Як спрацювала вразливість
Корінь проблеми криється у функції escapeHatch — механізмі, який колись був задуманий як «аварійний люк» для виведення коштів користувачів у разі відмови основної системи. Розробники Aztec, згортаючи проєкт у 2023 році, видалили цю функцію з основного коду. Однак, як показав аналіз, розгорнутий у мережі смарт-контракт все ще містив старий перевіряючий модуль, позбавлений будь-яких перевірок прав доступу.
По суті, хакер скористався відсутністю верифікації: він просто подав підроблений «доказ» володіння активами, і контракт, не маючи змоги перевірити справжність, беззаперечно віддав чужі кошти. Ця прогалина роками чекала своєї години в коді, який усі вважали неактивним.
Чому атаку було неможливо зупинити
Ключова трагедія цієї ситуації — в архітектурній особливості Aztec Connect. Після закриття проєкту команда Aztec Labs відмовилася від ключів управління, зробивши контракти повністю незмінними (immutable). Це означає, що код назавжди застиг у мережі: його не можна оновити, виправити або поставити на паузу. У розробників просто немає технічної можливості втрутитися та зупинити крадіжку.
Важливо підкреслити: цей інцидент жодним чином не пов'язаний з токеном AZTEC або діючою мережею Aztec. Це повністю ізольована, мертва система. Але сам випадок — яскрава ілюстрація прихованої небезпеки DeFi: навіть закинуті смарт-контракти залишаються ласим шматком, доки в них зберігаються кошти. За даними DeFiLlama, лише за червень 2026 року в результаті щонайменше 12 атак було вкрадено близько $44 млн.
Мій коментар як аналітика: Цей кейс — не просто історія про поганий код. Це фундаментальний урок для всієї індустрії. Закинуті контракти із замороженими коштами — це «бомби уповільненої дії». Командам проєктів необхідно впроваджувати механізми «самознищення» або примусового виведення ліквідності при згортанні продукту. Інакше ми спостерігатимемо подібні інциденти знову і знову, доки хакери не вигребуть усе до дна.