Злам застарілого контракту Aztec: хакер вивів $2,15 млн з неактивного L2-протоколу

18 червня 2026 року моя аналітична група зафіксувала інцидент у мережі другого рівня Aztec. Зловмисник успішно атакував невикористовуваний смарт-контракт, вивівши кошти на суму близько $2,15 млн. Атака була спрямована на застарілий продукт Aztec Payments, який було закрито ще у 2022 році.
Першими аномалію виявили фахівці CertiK, після чого команда Aztec Labs офіційно підтвердила злам. Вразливість було виявлено в логіці перевірки доказів контракту PrivateRollupBridge. Хакер витратив лише 0,134 ETH (~$230) на реалізацію атаки, що підкреслює високу ефективність використаного експлойту.
У результаті інциденту зловмисник зміг вивести 1158 ETH, 150 000 DAI та 0,47 renBTC. Важливо зазначити, що поточна активна мережа Aztec та її користувачі не постраждали — атака торкнулася лише неактивних компонентів.
Повторна загроза в одній екосистемі
Це вже другий випадок за короткий проміжок часу. 14 червня інший застарілий контракт маршрутизатора було спустошено майже на $2,19 млн. Така послідовність подій викликає питання щодо безпеки успадкованих компонентів в екосистемі Aztec.
Представники Aztec Labs заявили, що не мають адміністративних ключів і не контролюють вразливі контракти. Це означає, що команда не може заморозити їх або випустити оновлення для запобігання подальшим атакам. Ця ситуація наочно демонструє ризики, пов'язані з незворотними смарт-контрактами, які залишаються без підтримки після завершення проєкту.
Мій експертний коментар: Цей інцидент підкреслює критичну важливість своєчасного аудиту та деактивації застарілих контрактів. Навіть занедбані протоколи можуть стати ласим шматком для хакерів, особливо якщо в них зберігаються ліквідні активи. Командам проєктів необхідно впроваджувати механізми автоматичного блокування або міграції коштів із невикористовуваних контрактів, щоб запобігти подібним атакам у майбутньому.