Новини криптоміра

18.06.2026
13:59

Застарілий контракт Aztec зламано на $2 млн: аналіз інциденту та уроки для L2-екосистем

18 червня мережа другого рівня Aztec зіткнулася з черговим інцидентом безпеки: невикористовуваний смарт-контракт був успішно зламаний. Орієнтовна шкода склала приблизно $2,15 млн. Ця подія знову привернула увагу до проблем застарілого коду в блокчейн-інфраструктурі.

Деталі атаки: як це сталося

Аналітики CertiK першими зафіксували підозрілу активність, після чого команда Aztec Labs офіційно підтвердила факт злому. Вразливість було виявлено в застарілому платіжному продукті Aztec Payments, який був закритий ще у 2022 році. За даними дослідження, хакер експлуатував логічну помилку в перевірці доказів смарт-контракту PrivateRollupBridge. На реалізацію атаки зловмисник витратив лише 0,134 ETH (~$230).

Масштаб та наслідки

В результаті злому було виведено 1158 ETH, 150 000 DAI та 0,47 renBTC. Важливо підкреслити, що інцидент не зачепив користувачів та активи в актуальній мережі Aztec — атака була спрямована виключно на неактивний, але все ще розгорнутий контракт.

Контекст: друга атака за тиждень

Це вже другий випадок за короткий проміжок часу. 14 червня невідомі спустошили інший застарілий контракт маршрутизатора майже на $2,19 млн. Представники Aztec Labs зазначили, що не володіють адміністративними ключами та не контролюють систему, що унеможливлює заморозку контрактів або випуск оновлень для запобігання атакам.

Нагадаю, що 8 червня хакери скомпрометували гаманці, пов'язані з проектом Humanity Protocol, збитки склали близько $31 млн.

Мій аналіз та рекомендації

Ця ситуація — класичний приклад ризиків, пов'язаних з «мертвим кодом» у DeFi. Навіть закриті продукти продовжують існувати на блокчейні, і якщо вони не мають механізмів управління (наприклад, адміністративних ключів), вони стають легкою мішенню. Для L2-мереж та протоколів, які прагнуть до максимальної децентралізації, критично важливо впроваджувати процедури повного знищення або блокування невикористовуваних контрактів. Інакше ми ризикуємо спостерігати повторення таких атак, де збитки лягають на плечі команди та спільноти, які не мають можливості оперативно реагувати.