Finst

Atakujący wykradł 2,1 mln dolarów z Aztec Connect trzy lata po jego wyłączeniu

Luka w starej logice weryfikacji proof umożliwiła kradzież na miliony, mimo że Aztec Connect od lat pozostawał poza zarządzaniem. Co to oznacza dla legacy smart contracts, wyjaśniamy poniżej.

Autor: Zenz van der Wielen
• 2 min czytania
Atakujący wykradł 2,1 mln dolarów z Aztec Connect trzy lata po jego wyłączeniu

Najważniejsze informacje

  • 14 czerwca z Aztec Connect skradziono ponad 2,1 mln dolarów za pomocą luki w logice weryfikacji proof.
  • Aztec Connect został wyłączony trzy lata temu, a niezmienne smart contracts od tego czasu nie są już zarządzane.
  • Atak nie dotyczy obecnej sieci Aztec, ale pokazuje ryzyko związane z przestarzałymi, niezarządzanymi kontraktami DeFi.

14 czerwca z Aztec Connect skradziono ponad 2,1 mln dolarów. Sprawca wykorzystał lukę w logice weryfikacji proof platformy. Ten exploit miał miejsce mimo tego, że Aztec Connect został wyłączony trzy lata temu, a system od tego czasu nie jest już zarządzany.

Tło Aztec Connect i exploit

Aztec Connect był nastawionym na prywatność rozwiązaniem Layer 2 na Ethereum, którego celem było ukrywanie szczegółów transakcji w aplikacjach DeFi z wykorzystaniem zero-knowledge proofs. W marcu 2023 roku Aztec Labs ogłosiło wygaszanie Aztec Connect, planując zakończenie usługi najpóźniej w marcu 2024 roku i skupienie się na rozwoju nowego, ogólnego szyfrowanego blockchaina. Smart contracts Aztec Connect są niezmienne i po deprecjacji nie były już utrzymywane.

Do exploita doszło, ponieważ funkcja kontraktu sprawdzała jedynie część przesłanych danych dowodowych, podczas gdy instrukcje transferu tokenów w innych częściach danych nie były odpowiednio weryfikowane. Dzięki temu atakujący mógł bezprawnie wypłacić środki i wyprowadzić około 2,19 mln dolarów. Aztec Labs potwierdziło, że nie ma już uprawnień administracyjnych ani kontroli nad systemem i nie może go wstrzymać ani zaktualizować.

Wpływ i szerszy kontekst w DeFi

Aztec Foundation podkreśliła, że ten atak nie ma wpływu na obecną sieć Aztec ani na token AZTEC ERC-20. Incydent ten uwidacznia jednak ryzyka związane z przestarzałymi i niezarządzanymi smart contracts w sektorze zdecentralizowanych finansów. To przykład tego, jak luki w legacy systemach mogą prowadzić do znacznych strat, nawet wiele lat po wyłączeniu platformy.

Atak nastąpił krótko po exploicie na Raydium, w którym na skutek ataków na stare pule płynności w sieci Solana stracono około 1,3 mln dolarów. Według danych DeFiLlama łączne straty z tytułu exploitów w czerwcu wyniosły około 43,93 mln dolarów, co podkreśla potrzebę stałej uwagi poświęconej bezpieczeństwu w DeFi.

Znaczenie dla europejskich użytkowników kryptowalut

Dla europejskich użytkowników i inwestorów w DeFi ważne jest, aby pamiętać, że nawet przestarzałe i niezarządzane smart contracts mogą stanowić ryzyko bezpieczeństwa. Podkreśla to znaczenie starannej oceny ryzyka i monitorowania bezpieczeństwa używanych platform, nawet jeśli nie są już aktywnie rozwijane ani zarządzane. Incydent może wskazywać, że legacy contracts na europejskim rynku kryptowalut również mogą być podatne na podobne ataki.

Zastrzeżenie: Treść ma charakter wyłącznie informacyjny i nie stanowi porady finansowej, inwestycyjnej, prawnej ani podatkowej. Podane informacje mogą być niekompletne, nieścisłe lub nieaktualne i nie powinny być traktowane jako wiążące. Żadne treści na tej stronie nie stanowią rekomendacji kupna, sprzedaży ani przechowywania jakiejkolwiek kryptowaluty. Inwestowanie w aktywa kryptograficzne wiąże się z ryzykiem utraty środków.