Застарілий контракт Aztec зламано на $2 млн: хакер обійшов захист другого рівня

18 червня 2026 року зловмисник успішно атакував неактивний смарт-контракт у мережі другого рівня Aztec. За попередніми оцінками, збитки склали близько $2,15 млн. Це вже другий інцидент із застарілими контрактами проєкту за останній тиждень.
Аналітики CertiK першими зафіксували підозрілу активність, після чого команда Aztec Labs оперативно підтвердила факт злому. Вразливість було виявлено в логіці перевірки доказів смарт-контракту PrivateRollupBridge — компоненті старого платіжного продукту Aztec Payments, який було згорнуто ще у 2022 році. Важливо підкреслити, що поточна мережа проєкту та активи користувачів не постраждали.
Деталі атаки: мінімальні витрати, максимальна вигода
Хакер витратив лише 0,134 ETH (приблизно $230) на реалізацію атаки, що свідчить про глибоке розуміння вразливості. У результаті йому вдалося вивести 1158 ETH, 150 000 DAI та 0,47 renBTC. Загальний обсяг викрадених коштів підтверджує, що контракт, незважаючи на свій застарілий статус, все ще містив значну ліквідність.
Повторний удар по Aztec
Це не перший випадок за останні дні. 14 червня невідомі спустошили інший застарілий контракт маршрутизатора Aztec, завдавши збитків майже на $2,19 млн. Обидва інциденти об'єднує одна ключова проблема: команда Aztec Labs не має адміністративних ключів і не контролює ці контракти, що унеможливлює їх заморозку або оновлення для запобігання атакам.
Експертна думка
Професійний коментар: Цей випадок — класичний приклад «мертвого коду» в DeFi. Застарілі контракти, особливо ті, які неможливо оновити, являють собою бомбу уповільненої дії. Розробникам необхідно впроваджувати механізми автоматичного виведення коштів із неактивних протоколів або, як мінімум, аудитувати їх на предмет прихованих вразливостей. Поки команда Aztec не вирішить проблему управління цими контрактами, ми можемо побачити нові атаки.
Нагадаємо, що 8 червня хакери скомпрометували гаманці, пов'язані з проєктом Humanity Protocol, у результаті чого збитки склали близько $31 млн. Ринок продовжує демонструвати вразливість legacy-контрактів.