Застарілий смарт-контракт Aztec зламано на $2 млн: деталі інциденту

18 червня відбулася атака на невикористовуваний смарт-контракт у L2-мережі Aztec. За попередніми оцінками, збитки склали близько $2,15 млн. Зловмисник скористався вразливістю в логіці перевірки доказів контракту PrivateRollupBridge, витративши на реалізацію атаки лише 0,134 ETH (~$230). У результаті йому вдалося вивести 1158 ETH, 150 000 DAI та 0,47 renBTC.
Вразливість була виявлена аналітиками CertiK, які першими зафіксували підозрілу активність. Пізніше команда розробників Aztec Labs підтвердила інцидент. Проблема торкнулася застарілого платіжного продукту Aztec Payments, який був закритий ще у 2022 році. Важливо підкреслити, що атака не вплинула на користувачів та активи в актуальній версії мережі проекту.
Це вже другий інцидент безпеки для Aztec за останні дні. 14 червня невідомі спустошили інший застарілий контракт маршрутизатора, викравши майже $2,19 млн. Представники Aztec Labs зазначили, що не володіють адміністративними ключами та не контролюють систему, тому не можуть заморозити контракти або випустити оновлення для запобігання атаці.
Нагадаю, що 8 червня хакери скомпрометували гаманці, пов'язані з проектом Humanity Protocol, завдавши збитків приблизно на $31 млн.
Експертний коментар: Цей інцидент знову підкреслює критичну важливість управління життєвим циклом смарт-контрактів. Застарілі, але незмінні контракти стають «бомбами уповільненої дії» для екосистеми. Проектам необхідно впроваджувати механізми примусового відключення або міграції активів із занедбаних контрактів, інакше подібні атаки повторюватимуться з незмінною регулярністю.