Застарілий контракт Aztec зламано на $2 млн: хакер скористався логічною вразливістю

18 червня зловмисник здійснив успішну атаку на невикористовуваний смарт-контракт у L2-мережі Aztec. За моїми оцінками, загальна сума збитків склала близько $2,15 млн. Інцидент був оперативно зафіксований аналітиками CertiK, а потім підтверджений командою розробників Aztec Labs.
Деталі атаки
Вразливість було виявлено в застарілому платіжному продукті Aztec Payments, який був закритий ще у 2022 році. Хакер скористався логічною помилкою в перевірці доказів смарт-контракту PrivateRollupBridge. На реалізацію атаки зловмисник витратив лише 0,134 ETH, що еквівалентно приблизно $230. У результаті йому вдалося вивести 1158 ETH, 150 000 DAI та 0,47 renBTC.
Важливо зазначити, що цей інцидент не зачепив користувачів та активи в актуальній версії мережі Aztec. Атака була проведена виключно на застарілий контракт, який не використовується в поточній екосистемі проєкту.
Повторна вразливість
Це вже другий випадок злому застарілих контрактів Aztec за останні кілька днів. 14 червня невідомі спустошили інший старий контракт маршрутизатора, завдавши збитків майже на $2,19 млн. Представники Aztec Labs підкреслили, що не володіють адміністративними ключами та не контролюють систему, тому не можуть заморозити або оновити контракти для запобігання подальшим атакам.
Експертний аналіз
З моєї точки зору, ситуація з Aztec демонструє критичну проблему в управлінні застарілими смарт-контрактами. Навіть після закриття продукту, якщо контракти залишаються незмінними та неконтрольованими, вони стають привабливою мішенню для хакерів. Це також нагадує нещодавній злом Humanity Protocol на $31 млн, що підкреслює зростаючу тенденцію до атак на вразливі, але неактивні смарт-контракти. Рекомендую всім проєктам проводити повний аудит і, якщо можливо, деактивувати або заморожувати застарілі контракти, щоб мінімізувати ризики.