资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Aztec Connect 智能合约被利用,约210万美元加密货币被盗
据报道,已废弃的DeFi平台Aztec Connect(隶属于Aztec网络)因攻击者利用其交易验证逻辑中的漏洞,被盗取了约210万美元的加密货币。这一事件表明,“被弃用”的合约在正式退役后很长时间内,仍可能成为攻击目标。
Aztec Labs在X平台上表示,正在调查一起可能影响Aztec Connect的漏洞利用事件,约210万美元已从该平台的智能合约中转出。该公司补充称,该问题并未影响当前Aztec网络上的用户或资产。
关键要点
· 攻击者滥用Aztec Connect的验证与结算路径,盗取了约210万美元。
· BlockSec表示,已验证的交易并未有效绑定至ZK证明所强制执行的交易集,从而为提取无担保余额创造了途径。
· 据报道,攻击者针对七种资产共实施了七次漏洞利用,累计盗取909枚ETH和27万枚DAI等。
· Aztec Connect于2023年3月被弃用,当时存款已停止,团队转向了Aztec网络。
· Aztec Labs表示没有管理密钥,无法暂停或升级Aztec Connect;而一位开发者称这些合约已完全不可变。
Aztec Labs对事件的描述
在其公开更新中,Aztec Labs描述了一起明显影响Aztec Connect智能合约的漏洞利用事件,并指出约210万美元已被转出。该公司强调,该事件并未影响运行中的Aztec网络上的资产或用户余额。
Aztec Connect与基于以太坊的隐私优先ZK Rollup生态系统相关联。根据报告中提供的相同背景,Aztec Connect是该平台于2022年推出的早期版本,用作DeFi桥梁。
验证弱点如何允许提款
安全公司BlockSec表示,攻击者利用了Aztec Connect在以太坊上验证交易与结算交易之间的不匹配。BlockSec的解释聚焦于系统如何处理已验证交易与ZK证明强制执行的交易集之间的关系。在他们看来,通过Aztec Connect验证路径批准的交易并未有效绑定至ZK证明所强制执行的交易集。这一缺口使得合约在以太坊上的验证与结算逻辑能够以不同的方式解释交易列表。
利用这种不一致性,攻击者可以安排交易,使合约在不进行以太坊上相应验证的情况下计入价值。BlockSec称,这允许创建无担保余额,随后便可提取。
BlockSec还报告称,攻击者多次重复该技术——针对七种不同资产实施了七次,而非一次性扫荡。
被盗资产明细及更广泛的黑客攻击背景
据报道,此次盗窃包括909枚以太坊(ETH)、27万枚DAI、167枚wrapped staked ETH以及其他几种加密货币。CertiK的另一篇帖子在原始报道中被引用,展示了部分被盗资产的示例。
Aztec Connect事件发生在DeFi漏洞利用的高发期。报道中引用的DeFiLlama数据显示,本月迄今为止,至少12起不同的漏洞利用事件已导致价值4400万美元的加密货币被盗。6月初,最大的一起盗窃事件与人道协议(Humanity Protocol)的私钥泄露有关,据报道6月8日损失了3000万美元。报道还提到了前一天发生的另一起Syscoin Bridge事件,据称通过伪造证明漏洞盗取了800万美元。
为何“已弃用”标签未能阻止攻击
Aztec Connect于2023年3月正式弃用,当时存款已停止,团队将开发资源转向了下一代Aztec网络。然而,弃用过程并未消除底层智能合约逻辑带来的风险。
Aztec Labs表示没有管理密钥,因此无法暂停或升级该系统。这意味着该平台无法由团队调整,导致已知或新出现的逻辑缺陷无法得到解决——尤其是当合约代码仍留在以太坊上时。
一位化名为“Param”的加密货币开发者也表示,Aztec Connect的智能合约已完全不可变,意味着它们无法再升级或暂停。这种“弃用但无升级权限”的组合有助于解释为何产品退役后仍可能出现漏洞利用。正如报道所指出的,这一事件再次提醒人们,被放弃或弃用的DeFi合约在数年后仍可能吸引攻击者,尤其是当漏洞利用依赖于合约的基本语义而非临时操作参数时。
后续关注要点
调查人员可能会重点关注被盗资金是否立即通过流动性场所转移,或者是否仍可在链上流动中追踪;而Aztec生态系统的应对措施可能集中于确认影响范围,并加强验证逻辑与结算逻辑之间的边界。对用户而言,实际启示是:将弃用合约视为仍有风险——不可变的代码在存款关闭后很长时间内仍可被利用。
